ASSEMBLEA dei SOCI 4.3.2021 ore 18.30 su ZOOM
seguirà un webinar:
PROSSIMAMENTE....
Gestione del rischio pandemico: quali sono gli strumenti per
gestire la nuova normalità?
WEBINAR giovedì 4 marzo 2021 -ore 15:00
ISCRIVITI QUI: register.gotowebinar.com/register/4095107281465765904?source=Everbridge
ASIS Europe, anche online è l'evento di formazione più importante del Security Management Europeo. Go Europe. www.asiseurope.org
Convenzione ASIS Italy 2021
per informazioni
Convenzione ASIS Italy 2021
L'assemblea si terrà su ZOOM, i soci riceveranno l'invito via mail. Eventuali colleghi interessanti possono ricevere un invito scrivendo a segreteria@asisitaly.org
Convenzione ASIS 2021
SAVE THE DATE!
Webinar Gratuito in collaborazione con Link Campus University
LINK x informazioni ed iscrizioni
ASSEMBLEA VIRTUALE
21.12.2020 Save the Date
Il 23 settembre 2020 tieniti un’ora libera dalle 18.00 alle 19.00 per la riunione virtuale dei soci ASIS Italy 🇮🇹.
La dott.ssa Monica Imovilli condividerà la sua trentennale esperienza nel mondo delle investigazioni a tutela della proprietà intellettuale per i grandi brand italiani ed internazionali.
Seguirà la presentazione del programma WIS a cura di Lynn de Vries CPP PCI CIPM de Vries CPP, PCI, CIPM
I soci riceveranno il link nei prossimi giorni.
Se sei interessato ad associarti chiedi di poter partecipare scrivendo a segreteria@asisitaly.org
#GSX+ #securitymanager #asischapteritaly #asiseurope2021
La dott.ssa Monica Imovilli condividerà la sua trentennale esperienza nel mondo delle investigazioni a tutela della proprietà intellettuale per i grandi brand italiani ed internazionali.
Seguirà la presentazione del programma WIS a cura di Lynn de Vries CPP PCI CIPM de Vries CPP, PCI, CIPM
I soci riceveranno il link nei prossimi giorni.
Se sei interessato ad associarti chiedi di poter partecipare scrivendo a segreteria@asisitaly.org
#GSX+ #securitymanager #asischapteritaly #asiseurope2021
ASSEMBLEA VIRTUALE
23.09.2020 Save the Date
Torna GSX in versione Plus, iscriviti su www.gsx.org
ASIS International ha deciso di portare GSX su una nuova, piattaforma completamente virtuale, per garantire la sicurezza della comunità dei security manager e dei loro partner. Sopri di più sulla nuova esperienza di GSX+ www.gsx.org #security #securitymanager #asisitaly #asiseurope.
SAVE THE DATE 24.7.2020
Assemblea Virtuale dei soci ASIS Chapter Italy
dal momento che rimane difficile incontrarsi di persona, online!
- Aprono l’assemblea il Presidente ASIS International mr. Godfried Hendriks ed il presidente di Asis Chapter Italy mr. Samuele Caruso
- CSO Experience Sharing: mr. Alfio Rapisarda CSO, ENI S.p.A.
- Assemblea dei soci l’assemblea, dedicata ai soci si terrà dalle 17.30 alle 18.30 su piattaforma virtuale. I soci riceveranno le istruzioni per connettersi.
Se ancora non sei socio, ma sei interessato a diventarlo contatta segreteria@asisitaly.org per ricevere un invito
#ASISITALY #ASISEUROPE #GSX #SECURITYMANAGER #SNEWS
Saldi Estivi per i nuovi soci ASIS
Investi su Te stesso, diventa socio ASIS a metà prezzo! ASIS sta offrendo una nuova prezzo per l'abbonamento Regular o CSO Center per il 2020. Associati oggi e connettiti a 34.000 professionisti della security globale per creare reti, collaborare e costruire relazioni significative che ti aiuteranno quotidianamente e per tutta la tua carriera. Avrai accesso alla nostra community online (ASIS Connects) e ad altri strumenti virtuali per apprendere e trovare soluzioni alle sfide quotidiane e alle nuove sfide che potresti dover affrontare durante questo periodo senza precedenti.
#ASISITALY #ASISEUROPE #GSX #SECURITYMANAGER #SNEWS
Corso di
Emergency Management
Fondazione ICSA
È il momento di stare uniti anche se distanti
#iorestoacasa
#iorestoacasa
ASIS EUROPE
è stato rimandatO al
1-3 MARCH 2021
2020 www.asiseurope.com
è stato rimandatO al
1-3 MARCH 2021
2020 www.asiseurope.com
APPUNTAMENTO A PRAGA DAL 1 al 3 APRILE 2020 www.asiseurope.com
Si è tenuta sabato 25 gennaio 2020 la Tavola Rotonda sulla Sicurezza organizzata dal Scuola Etica e Sicurezza dell'Aquila con l' Università Cattolica del Sacro Cuore. "Oggi le emergenze sono trattate in relazione all'importanza mediatica: le epidemie, il clima, le aggressioni, gli incendi, il terrorismo. Dobbiamo riuscire ad impostare una modalità di intervento organica, un approccio che consenta di conoscere i rischi per prevenirli e poi fronteggiarli" ha sottolineato Paola Guerra. #Security hashtag#Safety hashtag#professionesecuritymanager
EVENTI 2020
Se ti occupi di Security aziendale e vuoi incontrare i principali protagonisti, esperti, manager ed imprenditori del settore, partecipa a Richmond Security Director forum il 21-23 giugno 2020.
Prenderai parte ad un evento che prevede conferenze, incontri di networking con colleghi di altre aziende e business matching con aziende exhibitor leader di mercato.
Dove si svolge l’evento?
Park Hotel ai Cappuccini, una struttura ricca di storia e cultura. Nata da un monastero del XVII restaurato, l'hotel si trova a pochi passi dal centro di Gubbio città simbolo del Medioevo raffinato e colto.
Auguri di Buon Natale e felice anno nuovo
da ASIS Chapter Italy
Auguri di Buon Natale e felice anno nuovo da ASIS Chapter Italy
Save the Date: venerdì 13.12.2019 ASIS Chapter Italy propone ai soci un assemblea Natalizia.
Per informazioni e prenotazioni scrivete a: segreteria@asisitaly.org
Riparte il corso SECURITY&SAFETY MANAGEMENT di Scuola Etica & Sicurezza patrocinato da ASIS Chapter 🇮🇹 Italy. Si ricorda ai soci la possibilità di usufruire della convenzione per partecipare ad un prezzo di vantaggio.
Info: segreteria@asisitaly.org
Ci vediamo a SICUREZZA 2019 il 13.11.2019. Dopo il Talk Show si terrà l’assemblea aperta di ASIS Chapter Italy
Save the date!
Ci vediamo a SICUREZZA 2019
SAVE THE DATE!
GSX CHICAGO 2019 - Asis Italy presente!
SIAMO VICINI ALLE FAMIGLIE DEI NOSTRI POLIZIOTTI
ASIS Chapter Italy - 4.10.2019 - PRESENTI!
PER SOSTENERE HOSTAGE ITALIA!
GRANDE AFFLUENZA AL CONVEGNO SECURITY MANAGER 4.0
SAVE THE DATE - VENERDI 4 OTTOBRE 2019
GLOBAL SECURITY EXCHANGE 2019
L’evento più grande del mondo dedicato ai SECURITY MANAGER.
ASIS Global Security Exchange: 21000+ security manager 550 espositori: tutte le nuove tecnologie di ...domani. Seminari ed eventi formativi per la crescita professionale e l’aggiornamento. Ti sei già iscritto?
www.gsx.org #chicago #asisinternational #asisitaly #securitymanagement #GSX2019 #tomorrow #securityprofessional
ASIS Global Security Exchange: 21000+ security manager 550 espositori: tutte le nuove tecnologie di ...domani. Seminari ed eventi formativi per la crescita professionale e l’aggiornamento. Ti sei già iscritto?
www.gsx.org #chicago #asisinternational #asisitaly #securitymanagement #GSX2019 #tomorrow #securityprofessional
La 2a edizione di Security Director Forum patrocinata da ASIS Chapter Italy è stata un grande momento di incontro
ASIS per gli un’universitari. Non perdete l’opportunità di entrare nella più grande associazione di professionisti della Security al mondo...
Sicurezza Partecipata, ASIS: il Mondo Associativo come collante
Sicurezza Partecipata, ASIS: il Mondo Associativo come collante
Sicurezza Partecipata, Partnership Pubblico - Privato. Opportunità e Vantaggi per la Sicurezza Integrata, il Convegno organizzato da S News in collaborazione con AIPSA, ASIS, ASSIV, AssoSicurezza, AICIS, e con il Patrocinio del Comune di Milano, tenutosi nella prestigiosa cornice di Palazzo Beccaria, sede della Polizia Locale del Comune di Milano, ha visto tra i relatori Samuele Caruso, Presidente Asis International Italy Chapter, che S News incontra.
II tema del suo speech al Convegno è stato “Asis International: il mondo associativo come collante per raggiungere la Sicurezza Partecipata e la Security Internazionale”.
Quale, dunque, il suo messaggio?
Il messaggio di Asis in Italia è un messaggio di assoluta unità: vogliamo creare un ponte tra quelle che sono le diverse anime e le diverse professionalità del settore sicurezza, e Security principalmente. In Italia l'Associazione può avere un ruolo importante nel creare ponti tra mondi che sono spesso troppo diversi, pur avendo obiettivi simili. Asis storicamente è la più grande Associazione del settore a livello mondiale, con 38000 soci, professionisti della Security. Nel mondo rappresenta il punto di raccolta dei Security Managers, delle Security Companies di tantissimi veterani e soprattutto è un punto di riferimento per la formazione, per tavoli in cui si creano gli standards internazionali e che fondamentalmente non sono altro che un tentativo di riportare tutti nella stessa direzione. Come ho avuto modo di sottolineare, convergere significa dirigersi insieme verso uno stesso obiettivo. A livello aziendale la convergenza dovrebbe esserci tra le diverse funzioni, tra i diversi processi, ma anche tra i diversi mondi, quindi tra il pubblico ed il privato. Questa è anche la mia esperienza lavorativa, che vede la convergenza pure a livelli di rischi. Oggi, quando parliamo di Security dobbiamo tener presente che lo facciamo in uno scenario globalizzato, in un mondo globalizzato, che ha bisogno di risposte. Come presidente Asis la risposta che porto è una risposta internazionale, basata su una Associazione che può veramente fare molto in termini di professionalizzazione delle risorse.
Proprio a proposito di internazionalizzazione, la ISO 31030 rappresenta quindi un'opportunità?
La ISO 31030 è una grande novità. Per la prima volta ISO sta proponendo una certificazione sulla maturità dei sistemi aziendali di Travel Security Management.
Il Travel Security Management o il Travel Risk Management è uno dei temi più caldi in questo momento, perché le aziende devono affrontare delle sfide internazionali anche sotto il profilo normativo. Sempre più spesso abbiamo visto, con i casi di Bonatti in Italia ma con innumerevoli casi in tutt' Europa, sentenze ad esempio nel nostro Paese anche ai sensi della 231, che portano le aziende a confrontarsi con i propri obblighi di protezione nei confronti dei dipendenti. Ecco, questa nuova ISO che stanno scrivendo, con l’apporto anche di numerosi nostri soci Asis, che collaborano con le varie Associazioni ai tavoli UNI e ISO, è una certificazione che permette di dimostrare l'assolvimento normativo previsto, e quindi è un'opportunità per le aziende, perché diventa uno strumento di protezione.
A conclusione di questo primo convegno sullaSicurezza Partecipata. Qual è la sua impressione?
Il futuro del 2050, il futuro di tutti e quindi il futuro della Security, lo scriviamo oggi, cominciando ad immaginarlo e quello che immagino è un impegno sempre più costante nella creazione di rapporti tra tutte le anime della sicurezza pubblica e privata, italiana ed estera, e non soltanto limitata alla Security in senso stretto, perché quello che oggi chiamiamo Security domani lo chiameremo resilienza organizzativa o lo chiameremo in tanti altri modi. Sicuramente è importante per tutti continuare a rimanere aggiornati, per poter essere sempre più competenti nell'affrontare e nello gestire i rischi, che sono sempre più diversificati. In questo il mondo dell'Associazione ci può aiutare e, per quanto riguarda Asis Chapter Italy: siamo a disposizione di tutti!
Nel video che segue l’intervista integrale al Presidente Asis Chapter Italy
05.07.2019
Tags: Asis, Asis International, Samuele Caruso, La Sicurezza Partecipata, Palazzo Beccaria, AIPSA, ASSIV, AssoSicurezza, AICIS, Comune di Milano, Sicurezza Partecipata, Travel Security Management, ISO 31030, Security Managers, Monica Bertolo, S News, Eventi,
Iscriviti alla newsletter di S NewsPer rimanere sempre aggiornato sulle ultime novità della sicurezza,
iscriviti alla nostra newsletter.
»
\\ ARTICOLI CORR
Sicurezza Partecipata, Partnership Pubblico - Privato. Opportunità e Vantaggi per la Sicurezza Integrata, il Convegno organizzato da S News in collaborazione con AIPSA, ASIS, ASSIV, AssoSicurezza, AICIS, e con il Patrocinio del Comune di Milano, tenutosi nella prestigiosa cornice di Palazzo Beccaria, sede della Polizia Locale del Comune di Milano, ha visto tra i relatori Samuele Caruso, Presidente Asis International Italy Chapter, che S News incontra.
II tema del suo speech al Convegno è stato “Asis International: il mondo associativo come collante per raggiungere la Sicurezza Partecipata e la Security Internazionale”.
Quale, dunque, il suo messaggio?
Il messaggio di Asis in Italia è un messaggio di assoluta unità: vogliamo creare un ponte tra quelle che sono le diverse anime e le diverse professionalità del settore sicurezza, e Security principalmente. In Italia l'Associazione può avere un ruolo importante nel creare ponti tra mondi che sono spesso troppo diversi, pur avendo obiettivi simili. Asis storicamente è la più grande Associazione del settore a livello mondiale, con 38000 soci, professionisti della Security. Nel mondo rappresenta il punto di raccolta dei Security Managers, delle Security Companies di tantissimi veterani e soprattutto è un punto di riferimento per la formazione, per tavoli in cui si creano gli standards internazionali e che fondamentalmente non sono altro che un tentativo di riportare tutti nella stessa direzione. Come ho avuto modo di sottolineare, convergere significa dirigersi insieme verso uno stesso obiettivo. A livello aziendale la convergenza dovrebbe esserci tra le diverse funzioni, tra i diversi processi, ma anche tra i diversi mondi, quindi tra il pubblico ed il privato. Questa è anche la mia esperienza lavorativa, che vede la convergenza pure a livelli di rischi. Oggi, quando parliamo di Security dobbiamo tener presente che lo facciamo in uno scenario globalizzato, in un mondo globalizzato, che ha bisogno di risposte. Come presidente Asis la risposta che porto è una risposta internazionale, basata su una Associazione che può veramente fare molto in termini di professionalizzazione delle risorse.
Proprio a proposito di internazionalizzazione, la ISO 31030 rappresenta quindi un'opportunità?
La ISO 31030 è una grande novità. Per la prima volta ISO sta proponendo una certificazione sulla maturità dei sistemi aziendali di Travel Security Management.
Il Travel Security Management o il Travel Risk Management è uno dei temi più caldi in questo momento, perché le aziende devono affrontare delle sfide internazionali anche sotto il profilo normativo. Sempre più spesso abbiamo visto, con i casi di Bonatti in Italia ma con innumerevoli casi in tutt' Europa, sentenze ad esempio nel nostro Paese anche ai sensi della 231, che portano le aziende a confrontarsi con i propri obblighi di protezione nei confronti dei dipendenti. Ecco, questa nuova ISO che stanno scrivendo, con l’apporto anche di numerosi nostri soci Asis, che collaborano con le varie Associazioni ai tavoli UNI e ISO, è una certificazione che permette di dimostrare l'assolvimento normativo previsto, e quindi è un'opportunità per le aziende, perché diventa uno strumento di protezione.
A conclusione di questo primo convegno sullaSicurezza Partecipata. Qual è la sua impressione?
Il futuro del 2050, il futuro di tutti e quindi il futuro della Security, lo scriviamo oggi, cominciando ad immaginarlo e quello che immagino è un impegno sempre più costante nella creazione di rapporti tra tutte le anime della sicurezza pubblica e privata, italiana ed estera, e non soltanto limitata alla Security in senso stretto, perché quello che oggi chiamiamo Security domani lo chiameremo resilienza organizzativa o lo chiameremo in tanti altri modi. Sicuramente è importante per tutti continuare a rimanere aggiornati, per poter essere sempre più competenti nell'affrontare e nello gestire i rischi, che sono sempre più diversificati. In questo il mondo dell'Associazione ci può aiutare e, per quanto riguarda Asis Chapter Italy: siamo a disposizione di tutti!
Nel video che segue l’intervista integrale al Presidente Asis Chapter Italy
05.07.2019
Tags: Asis, Asis International, Samuele Caruso, La Sicurezza Partecipata, Palazzo Beccaria, AIPSA, ASSIV, AssoSicurezza, AICIS, Comune di Milano, Sicurezza Partecipata, Travel Security Management, ISO 31030, Security Managers, Monica Bertolo, S News, Eventi,
Iscriviti alla newsletter di S NewsPer rimanere sempre aggiornato sulle ultime novità della sicurezza,
iscriviti alla nostra newsletter.
»
\\ ARTICOLI CORR
Cercasi brillanti studenti alla ricerca di una carriera nel Security Management. Si richiede forza di volontà,mindset internazionale, inglese fluente e 20$ da investire nel proprio futuro...
...ASIS con 34000+ soci nel 🌎 , e 4 certificazioni di settore riconosciute ovunque è il posto giusto dove far crescere i security leader di domani.
Se sei in università, ma guardi avanti non perdere l’occasione di entrare nel club al prezzo di una 🍕.
Se invece sei già avanti nella carriera, ma vuoi dare un contributo ai ragazzi che entrano nel nostro settore...CONDIVIDI questo post!
#weare #securitymanagement #asisinternational #asischapteritaly #nextgeneration #oneopportunity
...ASIS con 34000+ soci nel 🌎 , e 4 certificazioni di settore riconosciute ovunque è il posto giusto dove far crescere i security leader di domani.
Se sei in università, ma guardi avanti non perdere l’occasione di entrare nel club al prezzo di una 🍕.
Se invece sei già avanti nella carriera, ma vuoi dare un contributo ai ragazzi che entrano nel nostro settore...CONDIVIDI questo post!
#weare #securitymanagement #asisinternational #asischapteritaly #nextgeneration #oneopportunity
MILANO 6 GIUGNO 2019
La Sicurezza Partecipata. Partnership Pubblico - Privato. Opportunità e Vantaggi per la Sicurezza Integrata è il titolo del Convegno organizzato da S News in collaborazione con AIPSA, ASIS, ASSIV,AssoSicurezza, AICIS, e con il Patrocinio del Comune di Milano. L’evento si terrà Giovedì 6 giugno con inizio alle ore 9:00, in Palazzo Beccarianel cuore di Milano.
Interverranno al convegno illustri relatori, tra i quali si segnalano:
Anna Scavuzzo, Vicesindaco e Assessore alla Sicurezza del Comune di Milano;
Marco Ciacci, Comandante della Polizia Locale del Comune di Milano;
Umberto Saccone, Presidente IFI Advisory;
Andrea Chittaro, Presidente AIPSA;
Samuele Caruso, Presidente ASIS International Italy Chapter;
Maria Cristina Urbano, Presidente ASSIV - ANIE Confindustria;
Franco Dischi, Segretario Generale AssoSicurezza;
Ugo Terracciano, Presidente AICIS;
Domenico Vozza, Avv. Esperto Privacy e Compliance, Membro Comitato Scientifico S News;
Stefano Mele, Avv. Partner di Carnelutti Studio Legale Associato.
Modera: Monica Bertolo, Direttore S News.
Al termine del Convegno, seguirà la visita alla Centrale Operativa della Polizia Municipale, Città di Milano, alle ore 12:30, circa.
L’evento, con posti limitati, è riservato ai Security Managers. La partecipazione è gratuita, previa iscrizione con mailto: segreteria@snewsonline.com.
Indubbiamente di forte attualità l’argomento al centro del Convegno, che vedrà susseguirsi i vari interventi su tematiche interdisciplinari, che non solo svilupperanno temi focali per il Security Management Aziendale del Pubblico e del Privato, ma che porteranno best practices ed orientamenti validi per cogliere opportunità interessanti per il settore.
A dei contenuti di indirizzo seguiranno anche aspetti tecnici, sia dell’ambito normativo, che di quello scientifico, per dare una visione d’insieme completa e nello stesso tempo capace di aprire nuovi orizzonti di interesse e di approfondimento.
L’evoluzione in atto nel settore della Sicurezza va colta e governata, per essere indirizzata ad obiettivi e finalità portate a fattor comune, per il benessere dell’intero Sistema Paese.
Al termine del Convegno la visita guidata alla Centrale Operativa sarà a sua volta seguita da momenti di networking.
Per iscriversi all’evento, cliccare qui.
Un approfondimento di Travel Security in ASSOLOMBARDA
Il
GUBBIO, 16-18 GIUGNO 2019
Nato dall’esigenza di focalizzarsi in modo più specifico sulla security, intesa come tutela del sito fisico e dei beni dell’azienda, ha lo scopo di coinvolgere in un contesto professionale e riservato, i manager della sicurezza (Security Director, Facility Director, Site Director) che avranno la possibilità di incontrare i fornitori delle soluzioni più innovative e tecnologicamente performanti del comparto.
Due giorni di meeting, seminari, workshop, gruppi di lavoro, incontri mirati per una full immersion nel mercato security, per confrontarsi, trovare soluzioni e incrementare i contatti business.
Maggiori informazioni http://www.richmonditalia.it/safety-security/
I migliori Auguri di una Serena Pasqua 2019 a tutti, i soci, i colleghi, gli amici di ASIS e le loro famiglie.
La prossima Assemblea dei soci del Chapter 211 si terrà il 3 maggio a Ozzano Emilia, Bologna.
A breve verrà comunicato ai soci l’indirizzo dell’evento ed istruzioni per accedere in web-conference.
A breve verrà comunicato ai soci l’indirizzo dell’evento ed istruzioni per accedere in web-conference.
GUBBIO, 16-18 GIUGNO 2019con il patrocinio di ASIS Chapter ITaly quest’anno a Gubbio i manager della sicurezza avranno la possibilità di incontrare i fornitori delle soluzioni più innovative e tecnologicamente performanti del comparto in Italia..
Due giorni di meeting, seminari, workshop, gruppi di lavoro, incontri mirati per una full immersion nel mercato security, per confrontarsi, trovare soluzioni e incrementare i contatti business.
www.richmonditalia.it/safety-security/
Due giorni di meeting, seminari, workshop, gruppi di lavoro, incontri mirati per una full immersion nel mercato security, per confrontarsi, trovare soluzioni e incrementare i contatti business.
www.richmonditalia.it/safety-security/
L’evento di presentazione del libro si terrà giovedì 9 maggio, con inizio alle ore 10:00 presso la sede di Confindustria, in sala Pininfarina, a Roma, in viale dell’Astronomia, 30.
Intervengono con l’autore:
Angelo Tofalo,
Sottosegretario di Stato alla Difesa, Membro del Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR) nella XVII Legislatura.
Giacomo Stucchi,
Presidente del Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR) nella XVII Legislatura.
Marco Vallisa,
sequestrato per 131 giorni, dal 5 luglio 2014 nella città libica di Zuwara.
Mariasandra Mariani,
sequestrata in Algeria per 440 giorni, dal 2 febbraio 2011 da AQMI (Al Quaeda nel Maghreb islamico).
Romolo Pacifico
Amministratore Delegato di IFI Advisory.
Giovanna Motka
Fondazione Hostage .
I ricavati del libro saranno destinati alla costituenda Fondazione Hostage Italia, organizzazione indipendente e no-profit, che ha l’obiettivo di aiutare e supportare le vittime dei sequestri e le loro famiglie.
Intervengono con l’autore:
Angelo Tofalo,
Sottosegretario di Stato alla Difesa, Membro del Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR) nella XVII Legislatura.
Giacomo Stucchi,
Presidente del Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR) nella XVII Legislatura.
Marco Vallisa,
sequestrato per 131 giorni, dal 5 luglio 2014 nella città libica di Zuwara.
Mariasandra Mariani,
sequestrata in Algeria per 440 giorni, dal 2 febbraio 2011 da AQMI (Al Quaeda nel Maghreb islamico).
Romolo Pacifico
Amministratore Delegato di IFI Advisory.
Giovanna Motka
Fondazione Hostage .
I ricavati del libro saranno destinati alla costituenda Fondazione Hostage Italia, organizzazione indipendente e no-profit, che ha l’obiettivo di aiutare e supportare le vittime dei sequestri e le loro famiglie.
COSA COMPRI CON 20$?
Sei uno studente Universitario che desidera intraprendere una carriera nel mondo della Security Aziendale?
La tua intera carriera è davanti a te, lascia che ASIS International sia la tua guida. Con 34000+ soci e presenza capillare in 200 paesi, ASIS International è la principale organizzazione mondiale di professionisti della Security.
ASIS offre eccezionali risorse per il networking, l'apprendimento e lo sviluppo professionale per coloro che si trovano in tutte le fasi della loro carriera.
Crediamo nei giovani: per questo, come studente, puoi diventare socio a soli $ 20 di quota annuale.
Fai il primo passo!
https://external.asisonline.org/eWeb/DynamicPage.aspx?WebCode=LoginRequired&expires=yes&Site=asis
#asiseurope #asisitaly #asisinternational #younginsecurity #cosacompriconventidollari #securitycareer
ASIS Europe 2019 - Dal rischio alla resilienza
27-29 marzo, Rotterdam, NL
Nel mondo odierno, caratterizzato da rapidi ed interconnessi cambiamenti e da mutevoli percezioni dei rischi e dei valori, l'accesso a un'istruzione di qualità ed una network affidabile è più indispensabile che mai.
Il programma ASIS Europe 2019 esplorerà come le nostre città si stanno evolvendo, i rischi critici ed emergenti, la tecnologia come amica e nemica della sicurezza e molto altro ancora.
Con oltre 50 sessioni formative incentrate sulla protezione dell'innovazione e del vantaggio competitivo e 11 ore di tempo dedicato al networking, questo sarà un evento eccezionale.
Il chapter italiano si sta organizzando per partecipare, contattateci per informazioni tramite segreteria@asisitaly.org
www.asiseurope.org
Sabato 19 gennaio 2019 dalle h. 9,30
nella Cripta dell’Università Cattolica avrà luogo la presentazione ufficiale del corso "Security & Safety Management” organizzato dalla Scuola Internazionale Etica & Sicurezza Milano – L’Aquila,
Interverranno i rappresentanti di partner ed enti patrocinati oltre che i docenti e parte dei relatori.
Il 17 gennaio a Milano infatti si aprirà la 15a edizione del Corso di Alta Formazione Manageriale che l’Università Cattolica del Sacro Cuore e la Scuola Internazionale Etica & Sicurezza, Milano-L’Aquila, fondata e diretta dalla Professoressa Paola Guerra, organizzano ogni anno, in collaborazione con GALDUS. Il corso, indirizzato prevalentemente ai professionisti della security aziendale, della sicurezza pubblica, della sicurezza privata e della safety aziendale, può vantare il patrocinio di nomi importanti e associazioni di categoria molto note a livello internazionale nel settore sicurezza e non solo: AIPSA, ASIS INTERNATIONAL CHAPTER ITALY, ASSIV e CLUSIT.
La figura professionale promossa è quella del Professionista della Security secondo la norma UNI 10459:2017 e prevista anche dal D.M. 269/2010 e ss., dalla Norma UNI 10891, oltre che dalle nuove Disposizioni del Settore Vigilanza privata ex D.M. 115/2014 e Discipline del capo della Polizia del 24 febbraio 2015; il corso è riconosciuto dall’organismo per la certificazione CERSA (N. 102 SEC) come idoneo per la certificazione del “Professionista della Security”
La Faculty è composta dai docenti dell'Università Cattolica e della Scuola Internazionale Etica & Sicurezza, dai Presidenti delle principali Associazioni di categoria oltre che da professionisti qualificati nel settore privato e pubblico.
Tra i relatori hanno confermato la loro presenza, il Comandante Marco Ciacci – Polizia Locale Milano, il Dottor Dario Citati - Già Ministero degli Esteri, il Comandante Salvatore omandanteIl Direttore Scientifico è il Dott. Marco Ercole Oriani - Professore Ordinario Economia degli Intermediari Finanziari e Direttore Dipartimento SEGESTA Università Cattolica del Sacro Cuore, mentre il coordinamento didattico e scientifico è affidato al Dott. Massimo Giardina - Docente di Finanza Aziendale ed Economia degli Intermediari Finanziari presso l’Università Cattolica del Sacro Cuore e ovviamente alla Prof.ssa Paola Guerra – Fondatore, Direttore e Docente della Scuola internazionale Etica e Sicurezza Milano – L’Aquila.
FROM RISK TO RESILIENCE
ASIS Europe 2019
27-29 march 2019
Rotterdam, Netherlands
COMUNICATO STAMPA
Venerdì 23 Novembre 2018 è stato eletto il nuovo Consiglio Direttivo del Chapter italiano di
ASIS International, la più grande organizzazione mondiale di professionisti della sicurezza, con più
di 36.000 iscritti nel mondo. Samuele Caruso, Responsabile International Security di Fincantieri Spa,
è il nuovo Presidente di ASIS International - Italian Chapter, mentre la carica di Vicepresidente
è stata affidata a Maurizio Tondi, Chief Technology Officer di AXITEA.
Il nuovo Consiglio Direttivo, che sarà alla guida dell’associazione per il prossimo triennio,
comprende oltre ai soprammenzionati il nuovo Segretario Federico Pez di Gruppo PAM Spa ed
il nuovo Tesoriere Denis Olivo di Fincantieri Spa. I membri di ASIS Chapter Italy rappresentano
i dipartimenti di Security di primarie aziende nazionali e multinazionali presenti in Italia, nonché alcuni rappresentanti di enti governativi e professionisti del mondo delle investigazioni private e della vigilanza.
Il nuovo Direttivo intende portare nel mondo della Security Italiana le migliori Best Practises internazionali, potenziare la sinergia con le altre organizzazioni aziendali che occupano di gestione del rischio,
favorire l’accesso alla famiglia professionale da parte degli studenti universitari ed il coinvolgimento
delle Women in Security, fattore sempre più determinante per il successo della funzione.
BCI Italy Forum Meeting
27 Settembre 2018
Sarà presente Gianluca Riglietti, Research & Insight Manager del Business Continuity Institute, che tratterà il tema della blockchain technology per le supply chain. In seguito, interverrà Antonella Salvatore, direttrice di alta formazione e placement e professoressa alla John Cabot University di Roma, che parlerà dell’importanza della resilienza sul lavoro.
Il Meeting si terrà all'Hotel Principe di Savoia in Piazza della Repubblica 17 - Milano
Per maggiori dettagli sul programma e per iscrizioni: https://www.thebci.org/news/bci-italy-forum-meeting-27-september-2018.html
Per i soci ASIS la partecipazione è gratuita
Invito al workshop OICE - Seconda Edizione
3 Ottobre 2018 - Bologna
Expert Analysis: Emerging Trends in Regional Security
Una corretta comprensione della realtà locale relativamente al livello di rischio costituisce un elemento
fondamentale del Duty of Care aziendale. Il programma di workshop "Expert Analysis" ha l'obiettivo si informare
i security, risk, travel e HR manager riguardo ai rischi che il personale aziendale incontra durante le missioni all'estero.
Per registrarsi visitare il sito web: www.oice.eu
I vantaggi del programma Enterprise Security Risk Management (ESRM)
Il programma ESRM – Enterprise Security Risk Management – è un approccio strategico elaborato da
ASIS International che utilizza i principi di gestione del rischio riconosciuti a livello globale per collegare le pratiche di sicurezza di un'organizzazione alla sua missione e ai suoi obiettivi.
L’ESRM prevede la responsabilità condivisa tra i manager della sicurezza e i manager aziendali, cui spetta la decisione finale. In questo contesto, il ruolo del Responsabile della Sicurezza è quello di gestire e controllare le vulnerabilità aziendali in sinergia con le decisioni relative alla gestione del rischio e con i responsabili dell'organizzazione incaricati. Inoltre, un completo programma ESRM, comprende tutti gli aspetti delle misure di attenuazione del rischio per la sicurezza, coprendo aree che vanno dalla sicurezza fisica fino alla cyber security.
Tra i principali vantaggi offerti dall’ESRM, ricordiamo l’opportunità di approfondire la conoscenza degli obiettivi e
dei rischi dell’organizzazione in cui si lavora, e allo stesso tempo, la possibilità di apprendere gli aspetti più rilevanti attraverso il confronto con differenti stakeholder.
Nei prossimi mesi saranno disponibili per i soci ASIS specifici corsi di formazione e altri documenti ufficiali correlati al tema.
Per rimanere aggiornati e scoprire tutti i benefici del programma ESRM: https://www.asisonline.org/
Questo evento si inserisce nel programma ESRM – Enterprise Security Risk Management – con il patrocinio di
ASIS International per collegare le pratiche di sicurezza di un'organizzazione alla sua missione e ai suoi obiettivi utilizzando principi di gestione del rischio stabiliti e accettati a livello globale.
AGENDA:
16:00
WELCOME AND INTRODUCTION
----
The age of compliance: recent trends in regulatory compliance expectations
Speaker: Andrea Lambiase, head of Management Consulting Xecurity
Manage the risk through insights leveraging Swift Compliance
Speaker: SWIFT representative to be defined from Bruxelles office
CIO challenges and how CSO/CISO can help
Speaker: Marco Bavazzano, Chairman ASIS International Italy Chapter & CEO Axitea
Securing your SWIFT environment using micro-segmentation (including demo)
Speaker: CEO Illumio
----
19:00
DRINKS AT THE HOTEL ROOFTOP BAR
--------------------
L'evento si svolgerà presso l’Hotel ME Milano Il Duca in Piazza della Repubblica 13.
WORKSHOP OICE
Il 23 Maggio 2018 si terrà a Bologna il primo Workshop OICE dal titolo
"Emerging trends in regional security: expert analysis Medio Oriente - Nord Africa", dedicato alla sicurezza delle imprese che operano in contesti internazionali ad alto rischio, con focus su Medio Oriente e Nord Africa.
I paesi del Mediterraneo e del Medio Oriente costituiscono per le imprese italiane un importante scenario di attività.
Tuttavia queste aree sono per la maggior parte attraversate da tensioni e conflitti.
La partecipazione al Workshop rappresenta un'occasione unica di incontro con esperti di profilo internazionale che illustreranno un quadro preciso della situazione di rischio attuale e dei trend dei prossimi mesi.
All'interno del Workshop, Roger Warwick, CEO di Pyramid Temi Group, esperto di Security a livello mondiale,
analizzerà lo scenario del MENA assieme ad altri esperti e presenterà un case study su come definire
un'efficace strategia di Travel Security.
Per maggiori dettagli sul programma e per iscrizioni: www.oice.eu
Per i soci ASIS la partecipazione è gratuita
Contattare Pyramid Temi Group: +39051531804 - segreteria@pyramid.it
CYBERSECURITY SUMMIT ROMA 2018
“Cybersecurity Summit 2018” organizzato da The Innovation Group, edizione di Roma,
grazie alla partecipazione di Keynote Speaker e dei migliori Esperti italiani e internazionali,
crea un’occasione unica di scambio di esperienze e di networking, di discussione all’interno di
Lab verticali specialistici, per approfondire quali sono le esigenze emergenti di sicurezza,
identificare le contromisure da adottare, progettare e sviluppare soluzioni innovative sul fronte
della Security Governance e del Cyber Risk Management.
Scuola Internazionale Etica & Sicurezza Milano-L'Aquila e GALDUS presentano il corso:
“DATA PROTECTION: Il professionista del trattamento e della protezione dei dati”
Il corso ha l’obiettivo di qualificare i professionisti e dare l’opportunità di conseguire la certificazione e qualificazione professionale presso l’organismo di certificazione CERSA, ente accreditato presso ACCREDIA e riconosciuto dal
Ministero dell’Interno, come idoneo per la Certificazione della figura del “DPO”, ai sensi della Norma UNI 11697:2017
per tutti coloro che frequenteranno e supereranno con merito l’apposito percorso formativo.
Il Corso inizierà il 19 marzo 2018, terminerà il 18 luglio 2018 e si terrà a Milano nelle aule della Scuola di Etica e Sicurezza
o in quelle messe a disposizione da GALDUS. L’intero corso ha una durata di 100 ore articolate tra lezioni in aula con didattica frontale, testimonianze, esercitazioni, simulazioni, analisi e discussione di casi concreti e situazioni reali.
E’ prevista inoltre la possibilità di partecipare anche a singoli moduli di 20 ore ciascuno.
Per i Soci ASIS è previsto uno sconto sul valore del corso.
Iscrizioni ed informazioni: corsi@scuolaeticaesicurezza.eu - 02 84 21 51 07
Nuovo corso di Business Continuity e Information Protection
Genova, 9 febbraio 2018 nelle sedi di Altec Services S.r.l. in via Fiumara, 6
Altec Services S.r.l. e Scienze per la Sicurezza Consulting presentano il nuovo percorso formativo di
Attuazione e Gestione della Resilienza per le Imprese pensato per tutti i settori industriali, inclusi gli operatori e i responsabili del settore Maritime. Il corso è valido ai fini del mantenimento della certificazione per i professionisti
della security certificati in base alla norma UNI 10459:2015. I crediti formativi per i professionisti della security
sono erogati da CERSA S.r.l.
Per maggiori informazioni visitare il sito http://www.altecservices.it/
X EDIZIONE del MASTER di II LIVELLO in
"Homeland Security - sistemi, metodi e strumenti per
la Security e il Crisis Management"
presso l'Università Campus Bio-Medico di Roma
Un Master che vuole favorire la crescita di una cultura della sicurezza nella sue varie sfaccettature organizzative, logiche
e fisiche, sia con riferimento ai danni accidentali, sia a quelli atipici e delittuosi
Per maggiori informazioni visitare il sito www.masterhomelandsecurity.eu
ANTI-TERRORISM OFFICER (ATO) COURSE
Roma, 13-17 novembre 2017
HEMEIS, S2 Institute, IACSP e ASIS International presentano il corso per la certificazione
degli ufficiali dell'anti-terrorismo. Il corso prepara all'esame di certificazione con https://catocertification.org/
Per maggiori informazioni contattare annacorsaro@hemeis-consulting.com
FIERA SICUREZZA 2017
15-17 novembre 2017
SICUREZZA si prepara a tornare nel 2017 con l’ambizioso progetto di diventare sempre più evento di
riferimento in Europa, in particolare per i professionisti del Bacino del Mediterraneo e dell’Europa dell’Est.
Nuove sinergie e crescente integrazione tra comparti tecnologici affini trovano rinnovato spazio in una
manifestazione sempre più internazionale, ancora più strategica nella sua nuova collocazione temporale.
LA BUSINESS CONTINUITY NELL'INDUSTRIA
MARITTIMA E PORTUALE
- corso teorico e pratico -
Genova, 5 e 6 ottobre 2017
Corso valido ai fini del riconoscimento di 12 crediti formativi per i Professionisti
della security aziendale in base alla norma UNI 10459:2015
Comunicazione del Presidente al termine dell'evento
Conference Europe 2017 "From risk to resilience"
Cari soci,
Si è conclusa da poche ore la conferenza ASIS Europe 2017 tenutasi a Milano.
Sono molto contento per quelli di voi che sono riusciti a intervenire perché è stato riconosciuto da tutti i partecipanti l'elevato livello qualitativo di questa edizione. Anche gli organizzatori si sono detti molto soddisfatti per la numerosa partecipazione (circa 700 persone) e per il successo del format innovativo che è stato inaugurato a Milano e, quindi, come Chapter italiano posso affermare senza pericolo di smentita che abbiamo fatto una gran bella figura.
I percorsi formativi sono stati molto apprezzati e si sta già lavorando per la prossima edizione per renderli ancora migliori, strutturando, ad esempio, una collaborazione ancora più stretta con ISSA per quanto riguarda le tematiche cyber.
Le conferenze sono state generalmente di alto livello e, in particolare, mi piace sottolineare l'eccellenza degli interventi effettuati dai nostri soci tra cui Angela Pietrantoni, Genseric Cantournet, Paola Guerra Anfossi, Michele Pontrelli e Roger Warwick, nonché l'opera di moderatori compiuta in differenti sessioni da Maurizio Tondi e Alessandro Lega.
Gli stand degli espositori sono stati molto frequentati ed io stesso ho potuto verificare personalmente la presentazione di varie soluzioni molto innovative nell'ambito del controllo accesi, urban security, cyber security e moto altro ancora.
Per finire, anzi dovrei dire per cominciare, i 3 professional tours tenutisi il primo giorno sono stati semplicemente fantastici.
La visita alla Control Room di ATM ha entusiasmato i partecipanti e la stessa cosa è accaduta per la visita alla Control Room di Expo. Infine analogo successo di critica ha ottenuto il workshop tenutosi presso Techdata.
Abbiamo avuto dei media partner di eccezione tra cui Rainews (grazie Genseric!) che ha effettuato molte interviste che serviranno per promuovere gli obiettivi della nostra associazione sul nostro territorio e ad arruolare nuovi iscritti. A questo proposito vorrei invitare quelli tra di voi che non hanno ancora effettuato il rinnovo entro la scadenza del 31 marzo di procedere con l'iscrizione quanto prima, e di coinvolgere anche dei vostri contatti ad associarsi ad ASIS. Sarebbe bello dare un segnale all'associazione di una crescita di iscritti a seguito dell'organizzazione della conferenza a Milano, in modo che anche nel futuro la conferenza possa essere vista come un modo di promuovere l'associazione in una country. D'altra parte vorrei ancora sottolineare che nessuna organizzazione come ASIS può fornire altrettante possibilità di networking con altri security professional, e oggigiorno che questo aspetto è davvero di fondamentale importanza per tutti coloro che fanno il nostro mestiere (e non solo).
Superato questo importante impegno il Chapter si adopererà per fare alcune iniziative locali nei prossimi mesi. A questo proposito invito chiunque abbia suggerimenti in merito a fornirli al sottoscritto o alla Segreteria o a qualunque membro del Consiglio.
Finisco con un sentito e doveroso ringraziamento speciale a Alessandro Lega che ha dato un grandissimo contributo allo sviluppo di ASIS in questi anni ed in particolare anche alla realizzazione della conferenza appena conclusasi. Alessandro ha comunicato il desiderio di occuparsi d'ora in poi di altri interessi (farà coaching a giovani studenti universitari) pur rimanendo socio dell'associazione anche nel futuro. Sono certo che riceverà grandi soddisfazioni anche in questo nuovo ambito e soprattutto considero fortunati i ragazzi che beneficeranno dei suoi consigli.
Un caro saluto a tutti
Marco Bavazzano
Si è conclusa da poche ore la conferenza ASIS Europe 2017 tenutasi a Milano.
Sono molto contento per quelli di voi che sono riusciti a intervenire perché è stato riconosciuto da tutti i partecipanti l'elevato livello qualitativo di questa edizione. Anche gli organizzatori si sono detti molto soddisfatti per la numerosa partecipazione (circa 700 persone) e per il successo del format innovativo che è stato inaugurato a Milano e, quindi, come Chapter italiano posso affermare senza pericolo di smentita che abbiamo fatto una gran bella figura.
I percorsi formativi sono stati molto apprezzati e si sta già lavorando per la prossima edizione per renderli ancora migliori, strutturando, ad esempio, una collaborazione ancora più stretta con ISSA per quanto riguarda le tematiche cyber.
Le conferenze sono state generalmente di alto livello e, in particolare, mi piace sottolineare l'eccellenza degli interventi effettuati dai nostri soci tra cui Angela Pietrantoni, Genseric Cantournet, Paola Guerra Anfossi, Michele Pontrelli e Roger Warwick, nonché l'opera di moderatori compiuta in differenti sessioni da Maurizio Tondi e Alessandro Lega.
Gli stand degli espositori sono stati molto frequentati ed io stesso ho potuto verificare personalmente la presentazione di varie soluzioni molto innovative nell'ambito del controllo accesi, urban security, cyber security e moto altro ancora.
Per finire, anzi dovrei dire per cominciare, i 3 professional tours tenutisi il primo giorno sono stati semplicemente fantastici.
La visita alla Control Room di ATM ha entusiasmato i partecipanti e la stessa cosa è accaduta per la visita alla Control Room di Expo. Infine analogo successo di critica ha ottenuto il workshop tenutosi presso Techdata.
Abbiamo avuto dei media partner di eccezione tra cui Rainews (grazie Genseric!) che ha effettuato molte interviste che serviranno per promuovere gli obiettivi della nostra associazione sul nostro territorio e ad arruolare nuovi iscritti. A questo proposito vorrei invitare quelli tra di voi che non hanno ancora effettuato il rinnovo entro la scadenza del 31 marzo di procedere con l'iscrizione quanto prima, e di coinvolgere anche dei vostri contatti ad associarsi ad ASIS. Sarebbe bello dare un segnale all'associazione di una crescita di iscritti a seguito dell'organizzazione della conferenza a Milano, in modo che anche nel futuro la conferenza possa essere vista come un modo di promuovere l'associazione in una country. D'altra parte vorrei ancora sottolineare che nessuna organizzazione come ASIS può fornire altrettante possibilità di networking con altri security professional, e oggigiorno che questo aspetto è davvero di fondamentale importanza per tutti coloro che fanno il nostro mestiere (e non solo).
Superato questo importante impegno il Chapter si adopererà per fare alcune iniziative locali nei prossimi mesi. A questo proposito invito chiunque abbia suggerimenti in merito a fornirli al sottoscritto o alla Segreteria o a qualunque membro del Consiglio.
Finisco con un sentito e doveroso ringraziamento speciale a Alessandro Lega che ha dato un grandissimo contributo allo sviluppo di ASIS in questi anni ed in particolare anche alla realizzazione della conferenza appena conclusasi. Alessandro ha comunicato il desiderio di occuparsi d'ora in poi di altri interessi (farà coaching a giovani studenti universitari) pur rimanendo socio dell'associazione anche nel futuro. Sono certo che riceverà grandi soddisfazioni anche in questo nuovo ambito e soprattutto considero fortunati i ragazzi che beneficeranno dei suoi consigli.
Un caro saluto a tutti
Marco Bavazzano
“Deep Insight Eye Pyramid”
9 febbraio 2017 - Milano
Grazie a tutti i partecipanti all’evento “Deep Insight Eye Pyramid” tenutosi ieri presso la sala formazione di Axitea.
Il nostro Presidente, Marco Bavazzano, ha ribadito con l’occasione come – a fronte dell’evidente aumento di minacce ed attacchi alle imprese – sia fondamentale sviluppare e rafforzare in primis la “leadership della sicurezza” come elemento cruciale di prevenzione e di difesa.
Il Generale Umberto Rapetto, nel corso del suo straordinario intervento, ha tracciato e descritto – con riferimenti giuridici e tecnici ed attraverso episodi ed esperienza della sua carriera di altissimo profilo – l’anatomia dell’attacco Eye Pyramid ed attraverso questa analisi ha evidenziato come attacchi di questo tipo od anche più sofisticati, possano metter evidentemente a rischio persone ed imprese italiane.
Emerge definitivamente, quindi, la necessità per tutti di un rafforzamento continuativo delle attività di pianificazione di interventi in ambito della sicurezza cyber e di attuazione di adeguate contromisure operate attraverso l’adozione di tecniche e servizi innovativi.
In questo contesto Xecurity, sponsor dell’evento, ha evidenziato attraverso alcune demo real-time, la facilità e la pericolosità di realizzazione di attacchi hacker di tipo ATP che possono seriamente compromettere la continuità di business delle imprese. Tool disponibili a poco prezzo sul dark web e tutto sommato basse competenze a fronte di un’elevata motivazione, rappresentano un mix drammaticamente pericoloso per le imprese; documenti riservati, informazioni cruciali, identità digitali possono essere sottratte manipolate da criminali cyber.
L’utilizzo di tecnologie innovative, competenze specialistiche di operatori ed analisti della sicurezza ed asset dedicati alla gestione continuativa della sicurezza delle imprese (SOC), sorretti da una awareness trasversale della sicurezza, rappresentano gli elementi cruciali per una difesa continuativa delle imprese pubbliche e private di ogni dimensione.
Il nostro Presidente, Marco Bavazzano, ha ribadito con l’occasione come – a fronte dell’evidente aumento di minacce ed attacchi alle imprese – sia fondamentale sviluppare e rafforzare in primis la “leadership della sicurezza” come elemento cruciale di prevenzione e di difesa.
Il Generale Umberto Rapetto, nel corso del suo straordinario intervento, ha tracciato e descritto – con riferimenti giuridici e tecnici ed attraverso episodi ed esperienza della sua carriera di altissimo profilo – l’anatomia dell’attacco Eye Pyramid ed attraverso questa analisi ha evidenziato come attacchi di questo tipo od anche più sofisticati, possano metter evidentemente a rischio persone ed imprese italiane.
Emerge definitivamente, quindi, la necessità per tutti di un rafforzamento continuativo delle attività di pianificazione di interventi in ambito della sicurezza cyber e di attuazione di adeguate contromisure operate attraverso l’adozione di tecniche e servizi innovativi.
In questo contesto Xecurity, sponsor dell’evento, ha evidenziato attraverso alcune demo real-time, la facilità e la pericolosità di realizzazione di attacchi hacker di tipo ATP che possono seriamente compromettere la continuità di business delle imprese. Tool disponibili a poco prezzo sul dark web e tutto sommato basse competenze a fronte di un’elevata motivazione, rappresentano un mix drammaticamente pericoloso per le imprese; documenti riservati, informazioni cruciali, identità digitali possono essere sottratte manipolate da criminali cyber.
L’utilizzo di tecnologie innovative, competenze specialistiche di operatori ed analisti della sicurezza ed asset dedicati alla gestione continuativa della sicurezza delle imprese (SOC), sorretti da una awareness trasversale della sicurezza, rappresentano gli elementi cruciali per una difesa continuativa delle imprese pubbliche e private di ogni dimensione.
ASIS EUROPE 2017
- From risk to resilience-
29/31 march 2017 - Milano
The Conference is primarily aimed at those who work in complex environments with high degrees of connectivity, whether that’s merging of physical and cyber risks or connections between issues in real world scenarios that challenge established means of response.
The Conference should be a premium learning opportunity and does come with a fee to attend, so in order that this European level event can appeal to as many members (and other professionals) as possible, the Training workshops offer specific learning at a much lower fee and the expanded free “Show Pass” now includes the Technology & Solutions track and the Career Centre in addition to visiting the Exhibition.
www.asiseurope.org
The Conference should be a premium learning opportunity and does come with a fee to attend, so in order that this European level event can appeal to as many members (and other professionals) as possible, the Training workshops offer specific learning at a much lower fee and the expanded free “Show Pass” now includes the Technology & Solutions track and the Career Centre in addition to visiting the Exhibition.
www.asiseurope.org
NATO Stability Policing Concept development
and experimentation project
24/27 ottobre 2016 - Roma
Cari Soci,
desideriamo richiamare la Vostra attenzione sull’evento previsto dal 24 al 27 ottobre a Roma.
Il progetto è il primo organizzato dall'Italia in 65 anni dalla costituzione della NATO ed anche il primo proposto da un Ufficiale dell'Arma dei Carabinieri.
Il piano prevede di svolgere una serie di workshop in numerose capitali europee e non, per radunare una comunità di esperti e accademici che dovrà individuare le capacità, le forze, le risorse che caratterizzeranno le future operazioni di Polizia nel mantenimento della pace.
L'agenda affronta la complessità relativa allo sviluppo della capacità di Stability Policing sostenibile e descrive gli scenari strategici e operativi, nonché le potenziali soluzioni per i compiti che sarà chiamata a svolgere. Tra i vari gruppi di lavoro, uno in particolare si occuperà delle missioni anti terrorismo, protezione dei confini ed operazioni nelle mega cities.
Il primo workshop si terrà Roma dal 24 al 27 Ottobre.
Per partecipare alla conferenza introduttiva ai lavori scrivere a segreteria@asisitaly.org
Cordiali Saluti
Segreteria ASIS
desideriamo richiamare la Vostra attenzione sull’evento previsto dal 24 al 27 ottobre a Roma.
Il progetto è il primo organizzato dall'Italia in 65 anni dalla costituzione della NATO ed anche il primo proposto da un Ufficiale dell'Arma dei Carabinieri.
Il piano prevede di svolgere una serie di workshop in numerose capitali europee e non, per radunare una comunità di esperti e accademici che dovrà individuare le capacità, le forze, le risorse che caratterizzeranno le future operazioni di Polizia nel mantenimento della pace.
L'agenda affronta la complessità relativa allo sviluppo della capacità di Stability Policing sostenibile e descrive gli scenari strategici e operativi, nonché le potenziali soluzioni per i compiti che sarà chiamata a svolgere. Tra i vari gruppi di lavoro, uno in particolare si occuperà delle missioni anti terrorismo, protezione dei confini ed operazioni nelle mega cities.
Il primo workshop si terrà Roma dal 24 al 27 Ottobre.
Per partecipare alla conferenza introduttiva ai lavori scrivere a segreteria@asisitaly.org
Cordiali Saluti
Segreteria ASIS
Evento ASIS INTERNATIONAL – Italy Chapter
29 settembre 2016 - Milano
Il 29 settembre si è tenuto l'evento ASIS Italy Chapter a Milano, per presentare le novità della prossima campagna recruitment nuovi Soci per il 2017 e presentare il Report Conference di Orlando 2016.
Grande interesse per l'intervento dal titolo: "La realizzazione della struttura integrata di Sicurezza aziendale" di Genséric Cantournet (CSO, Radiotelevisione Italiana) e Angela Pietrantoni (CEO, Scienze per la Sicurezza Consulting).
Grande interesse per l'intervento dal titolo: "La realizzazione della struttura integrata di Sicurezza aziendale" di Genséric Cantournet (CSO, Radiotelevisione Italiana) e Angela Pietrantoni (CEO, Scienze per la Sicurezza Consulting).
ASIS EUROPE 2017
- FROM RISK TO RESILIENCE -
Mico - Milano 29/31 marzo 2017
http://www.asiseurope.org/
DEMO LIVE & SECURITY WORKSHOP
Milano, 27 giugno 2016
SAVE THE DATE - CYBER SECURITY
Milano, 27 giugno 2016
ASIS Chapter Italy partecipa alla 15° edizione di ASIS European Security Conference & Exhibition
L'evento per i Professionisti della Sicurezza è giunto alla sua 15° edizione. Organizzato quest'anno a Londra, il programma dei 3 giorni di manifestazione prevede il susseguirsi di sessioni di formazione e presentazioni di casi studio in ambito sicurezza e tecnologia, eventi di networking e tavole rotonde di confronto. Asis Chapter Italy ha partecipato con uno speech dal titolo: Security System as leverage of assurance on your business
From Chapter Italy a thorough view of Security
for the next future
The Security awareness and culture has never been so relevant as today, as the first “soft” barrier to overall attacks of any kind from logical, to physical, from IT to human and organisational. Theft of "intellectual property", subtraction and manipulation of critical data, incidents and computer crisis undermine the foundations of public and private enterprises, their business continuity and even their own survivability. Ultra wide band networks, the spread of mobile devices, social networks, the penetration of Internet of Things and the easiness to find malicious instruments of attack in the "deep web", inevitably increase the risk of exposure of the companies. An “holistic” approach to Security is emerging to effectively address key issues with regards of insider and disgruntled employees, criminal elements, vengeful clients, competitors, “hacktivists”, terror attacks, potential intruders and transversal vulnerabilities. By the way, all the past attacks have proven to be “transversal” involving computer elements, physical, human and organizational and highlighting the need and perhaps - whether and when regulated - the obligation of a highly integrated security deployment to reduce overall risks. The "silos" approach for physical security, information technology and the protection of human capital, has turned out as totally inadequate and inappropriate. By contrast, the adoption of a new paradigm that integrates methodologies, technologies and knowledge is the answer and the most effective resource to face criminal dynamics and to raise and reinforce companies’ management capacity against attacks, accidents, malfunctions and errors. Within this perspective, CIOs, CISOs, and CSOs do represent the most valuable strategic asset to lead a cross functional enterprise transformation towards a full and seamless protection. Besides the culture uptake - which is the foundation of this proactive approach that deals with risk management, continuous learning, update and certification - technology represents the “enabling platform” for a secure deployment that spans from reputation and brand management to cyber and physical protection; key assets are definitely managed security services, integrated and interoperable situation management software tools, OSInt (Open Source Intelligence) and innovative CERT (Computer Emergency Response Team). Skills, competences, experiences and technology know how, are pillars of ASIS Chapter Italy evolution plan and areas of activities and focus.
Maurizio Tondi
Board Member Asis - Chapter Italy
Events & Communication
Maurizio Tondi
Board Member Asis - Chapter Italy
Events & Communication
La normativa europea sulla sicurezza dei dati e sulla cyber security, che sarà in vigore a breve e a cui tutti i paesi membri dovranno aderire, prevederà l’obbligo da parte delle Società di denunciare le violazioni o gli accessi abusivi ai dati da loro gestiti. Le aziende devono quindi controllare o aumentare il proprio livello di sicurezza per evitare un pesante danno di immagine!
http://www.computing.co.uk/ctg/news/2438307/eu-wide-it-security-breach-notification-laws-agreed-in-brussels
Il danno di immagine è tanto più importante quanto più importante è il nome e la dimensione della Società. Il danno economico invece no: le Società devono proteggere i dati rilevanti e gli asset strategici per il proprio business anche se sono delle PMI.
http://www.independent.co.uk/news/business/sme/cyber-attacks-can-be-damaging-for-small-firms-as-well-as-household-names-a6762886.html
Accordo tra ASIS Italy e DNV GL per la certificazione
UNI 10459:2015
Per molti anni i professionisti italiani della Security hanno provveduto a certificarsi ai sensi della UNI10459:1995 rivolgendosi a uno dei soli due (o quasi) Organismi di Certificazione (OdC) all’uopo accreditati da Accredia. Per fare ciò i security manager dovevano affrontare una spesa quasi doppia rispetto alle ben più note e rinomate certificazioni internazionali (es. ASIS CPP).
Infatti, il prezzo dell’esame per la 10459 oscillava tra le 500 e le 800 euro (IVA esclusa) a fronte di una media internazionale di circa 350 dollari (VAT inclusa), mentre il mantenimento annuale oscillava tra i 250 e 300 euro (IVA esclusa) contro una media internazionale di circa 120 dollari (VAT inclusa).
Con l’entrata in vigore della nuova UNI 10459:2015 gli OdC accreditati da Accredia autorizzati a rilasciare la relativa certificazione volontaria del personale sono pressoché triplicati rispetto agli OdC che potevano certificare per la versione 1995 della stessa norma. Ovviamente, l’ingresso di nuovi OdC in questo settore di certificazione ha determinato una fisiologica flessione delle tariffe di certificazione, facendole avvicinare in taluni casi alle tariffe delle certificazioni internazionali.
In questo contesto ASIS Italy ha operato in questi ultimi mesi al fine di individuare un OdC che:
- Mantenimento Annuale: 100
- Rinnovo: 150 (senza esame) - 200 (con esame)
- Trasferimento da altro OdC: 80
In sintesi, l’accordo tra ASIS Italy e DNV GL è orientato ad offrire un concreto servizio e valore aggiunto a tutti gli associati ASIS e a tutti i professionisti della security che, sebbene non ancora associati, riconoscono di fatto in ASIS l’unico e più importante punto di riferimento nel mondo della security aziendale. Tuttavia, ogni professionista sarà sempre libero di scegliere se ottenere la sua certificazione UNI10459:2015 con uno dei soliti OdC o alle condizioni estremamente più vantaggiose (in termini di brand, tariffe, e condizioni generali) offerte da DNV GL per gli associati ASIS.
Infatti, il prezzo dell’esame per la 10459 oscillava tra le 500 e le 800 euro (IVA esclusa) a fronte di una media internazionale di circa 350 dollari (VAT inclusa), mentre il mantenimento annuale oscillava tra i 250 e 300 euro (IVA esclusa) contro una media internazionale di circa 120 dollari (VAT inclusa).
Con l’entrata in vigore della nuova UNI 10459:2015 gli OdC accreditati da Accredia autorizzati a rilasciare la relativa certificazione volontaria del personale sono pressoché triplicati rispetto agli OdC che potevano certificare per la versione 1995 della stessa norma. Ovviamente, l’ingresso di nuovi OdC in questo settore di certificazione ha determinato una fisiologica flessione delle tariffe di certificazione, facendole avvicinare in taluni casi alle tariffe delle certificazioni internazionali.
In questo contesto ASIS Italy ha operato in questi ultimi mesi al fine di individuare un OdC che:
- Offrisse la certificazione a condizioni economiche ancor più vantaggiose (prossime al prezzo di costo);
- Garantisse uno standard elevato dei membri della commissione esaminatrice (ottenendo che almeno un membro fosse certificato CPP);
- Avesse un brand di indiscusso rilievo internazionale.
- Tariffario (IVA esclusa)
- Mantenimento Annuale: 100
- Rinnovo: 150 (senza esame) - 200 (con esame)
- Trasferimento da altro OdC: 80
- Commissione d’esame - composta da un esaminatore di DNV GL e un esaminatore supportato da ASIS Italy con la certificazione ASIS CPP in corso di validità;
- Crediti formativi per il mantenimento annuale – DNV GL potrà riconoscere utili ai fini dei predetti crediti tutti gli eventi formativi organizzati da ASIS International e ASIS Italy. Ad esempio, gli interessati potranno acquisire crediti seguendo online i webinar gratuiti di ASIS senza sprecare tempo prezioso in trasferte da una località all’altra. Inoltre, DNV GL potrà riconosce validi per l’attribuzione dei crediti formativi anche gli eventi di security che siano già stati considerati validi per l’attribuzione dei crediti formativi da parte di altri OdC accreditati da Accredia per lo schema UNI10459:2015.
In sintesi, l’accordo tra ASIS Italy e DNV GL è orientato ad offrire un concreto servizio e valore aggiunto a tutti gli associati ASIS e a tutti i professionisti della security che, sebbene non ancora associati, riconoscono di fatto in ASIS l’unico e più importante punto di riferimento nel mondo della security aziendale. Tuttavia, ogni professionista sarà sempre libero di scegliere se ottenere la sua certificazione UNI10459:2015 con uno dei soliti OdC o alle condizioni estremamente più vantaggiose (in termini di brand, tariffe, e condizioni generali) offerte da DNV GL per gli associati ASIS.
ASIS Chapter Italy a Fiera Sicurezza 2015:
presentate le novità in ambito formazione
ASIS Chapter Italy ha partecipato a Sicurezza 2015, che si è tenuta a Milano dal 3 al 5 novembre.
Nei due convegni, organizzati presso lo stand di Ethos Academy nei giorni 3 e 4 novembre, il Chapter ha presentato il programma che caratterizzerà le attività associative nel corso del 2016. Ci sono diverse iniziative che verranno avviate, tutte finalizzate a rivitalizzare le nostre attività.
Una di queste riguarda la possibilità di offrire, ai Soci e a chiunque fosse interessato, un percorso finalizzato alla preparazione dei professionisti della Security per il conseguimento delle ambite certificazioni di ASIS International (CPP, PSP, PCI). La formula individuata, in collaborazione con TheSMA, è stata presentata in occasione dei due incontri citati.
Rupert Reid, Managing Director di TheSMA ha introdotto una nuova modalità definita Studyflex, che permette di acquisire le conoscenze necessarie per affrontare le prove di esame perviste per le certificazioni indicate.
La novità consiste in una forma mista di formazione, una parte erogata con modalità di distance learning senza nessun spostamento, seguita da una parte con lezioni frontali, in Italia (presumibilmente a Milano). Il metodo che introduce Studyflex di TheSMA, per la parte distance learning, permette quindi di pianificare il tempo da dedicare alla formazione che ciascun partecipante può seguire individualmente, riducendo al minimo l’interruzione delle attività professionali. Solo per le attività in aula, con lezioni frontali limitate a due-tre giornate (dipende dal livello di ingresso), si rende necessario lo spostamento dalla sede dei candidati. Il metodo permette di diluire le ore di apprendimento fino a prevedere il completamento del percorso formativo in un periodo massimo di 12 mesi.
Per confermare la flessibilità che il nuovo metodo introduce, Studyflex prevede anche modalità flessibili per il pagamento. Sono previste modalità diverse che vanno da un pagamento in un’unica soluzione, pagamenti rateali e forme di pagamenti con finanziamento. L’importo, che dipende anche dal numero dei partecipanti e dalla forma di pagamento scelto, potrà oscillare fra i 1.550 e i 1.800 Euro + IVA, per un periodo massimo di “abbonamento” di 12 mesi.
Al momento avremmo necessità di valutare quanti potrebbero essere i professionisti interessati al programma, che vorremmo lanciare all’inizio del 2016. Questo permetterà anche di calibrare il costo del corso, che come detto, è influenzato dal numero dei partecipanti.
Per ottenere ulteriori informazioni e per manifestare l’eventuale interesse al programma, inviare email a segreteria@asisitaly.org
Nei due convegni, organizzati presso lo stand di Ethos Academy nei giorni 3 e 4 novembre, il Chapter ha presentato il programma che caratterizzerà le attività associative nel corso del 2016. Ci sono diverse iniziative che verranno avviate, tutte finalizzate a rivitalizzare le nostre attività.
Una di queste riguarda la possibilità di offrire, ai Soci e a chiunque fosse interessato, un percorso finalizzato alla preparazione dei professionisti della Security per il conseguimento delle ambite certificazioni di ASIS International (CPP, PSP, PCI). La formula individuata, in collaborazione con TheSMA, è stata presentata in occasione dei due incontri citati.
Rupert Reid, Managing Director di TheSMA ha introdotto una nuova modalità definita Studyflex, che permette di acquisire le conoscenze necessarie per affrontare le prove di esame perviste per le certificazioni indicate.
La novità consiste in una forma mista di formazione, una parte erogata con modalità di distance learning senza nessun spostamento, seguita da una parte con lezioni frontali, in Italia (presumibilmente a Milano). Il metodo che introduce Studyflex di TheSMA, per la parte distance learning, permette quindi di pianificare il tempo da dedicare alla formazione che ciascun partecipante può seguire individualmente, riducendo al minimo l’interruzione delle attività professionali. Solo per le attività in aula, con lezioni frontali limitate a due-tre giornate (dipende dal livello di ingresso), si rende necessario lo spostamento dalla sede dei candidati. Il metodo permette di diluire le ore di apprendimento fino a prevedere il completamento del percorso formativo in un periodo massimo di 12 mesi.
Per confermare la flessibilità che il nuovo metodo introduce, Studyflex prevede anche modalità flessibili per il pagamento. Sono previste modalità diverse che vanno da un pagamento in un’unica soluzione, pagamenti rateali e forme di pagamenti con finanziamento. L’importo, che dipende anche dal numero dei partecipanti e dalla forma di pagamento scelto, potrà oscillare fra i 1.550 e i 1.800 Euro + IVA, per un periodo massimo di “abbonamento” di 12 mesi.
Al momento avremmo necessità di valutare quanti potrebbero essere i professionisti interessati al programma, che vorremmo lanciare all’inizio del 2016. Questo permetterà anche di calibrare il costo del corso, che come detto, è influenzato dal numero dei partecipanti.
Per ottenere ulteriori informazioni e per manifestare l’eventuale interesse al programma, inviare email a segreteria@asisitaly.org
Organizational Resilience:
discussions and debates from the academy
Dr Allison Wylde FRGS DIC (Imperial)
ASIS International Commission on Standards and Governance,
Regent’s University London
Resilience is yet another hot topic in both the practitioner and academic communities. On the 30th of June 2015, a search for resilience in the academic search engine, Google Scholar, returned more than 1.14 million articles with more than 240, 000 added during 2015 (Google Scholar, 2015). So what does all this interest mean for security managers, what can we learn from these studies and how can this knowledge help us to engage with current debates at the highest level?
First, we will explore what is agreed upon (and what is not) when we speak about resilience – as there are some differences of opinion. Secondly, we will consider what resilience means in practice and, finally, we will explore how a resilience way of thinking may help security professionals to build upon their high-level strategy and tactical toolkits.
Among security managers and the academic community, resilience has received a mixed reception. Some security managers and academics see resilience as a new and preferred way of thinking, at the same time others may hold a less favourable view, preferring to hold on to their own way of doing things. Yet others may say, not for me, no more hot topics… no more change.
In universities many academics argue forcefully for their own particular viewpoint of resilience, drawing from their own research findings to support their opinions. This position exists in universities partly because of academia silos, with academics protecting their own boundaries with their own research agenda and often through using their own language. When Engineers and IT researchers speak about resilience they may mean something different to Environmental scientists (I speak as a former bench scientist). In the clinical and behavioural sciences, for example, in Early Childhood studies, there is more variation in viewpoints about resilience. Yet, all these academics claim that their own, specialist, viewpoint of resilience is correct. A recent example from an international conference concerned an argument between several eminent Marketing Professors, regarding whether or not “standards” should be “allowed” into the Academy (per comm. Egan, 2015). Let’s now look at what we mean by resilience in more detail, and later we will see ‘strength’ in understanding these different opinions.
A dictionary definition of resilience lists: the act or rebounding back; elasticity; remaining in an original shape after compression; and, the energy absorbed after strain (OED, website, 2015). However, much of the resilience thinking in security at present seems to focus simply on adaptation. But, as the OED definition states, there is more to resilience. Let us look to the academy and see what ideas we can draw from. In engineering and IT one part of resilience refers to the ‘resistance’ of a component, in other words, the length of time a component may sustain an adverse load before it changes state or fails. In environmental science, resilience is viewed from a systems approach with individual ‘agents’ (individual organisms, organisations, ecosystem or biospheres) responding to many systems, which are all interacting with one another at the same time. The notion of ‘carrying capacity’ is used to illustrate the maximum population a system can withstand to remain in stasis. For example, the numbers of predators versus prey in a particular eco-system; if there are too many predators, problems for the prey will occur. In another example, as consequence of too many algae in a watercourse, the water is poisoned as a result of the algae’s waste which kills the fish (through too much nitrogen), and so on. In Early Childhood Studies, the focus is on children’s ‘adaptive’ behaviour - after trauma. However, in revisiting the example of predators and prey, algae and fish, adaptation is clearly too slow a process; the predators may have killed the prey and the nitrogen the fish, long before they’ve had a chance to adapt. So, in taking these ideas from the academy, in particular; resistance, capacity, balance (stasis) and of course adaptation, security managers may look anew at the risk assessment of their assets. Which categories of assets have the best resistance, capacity (stasis) or capability for adaptation as compared with those assets which have the least?
So, if modern security managers take a pragmatic approach, then we could say we are in a lucky position, able to pick and choose theories that are useful for security practice. Systems thinking may also be useful since modern organisations are embedded in ‘relations’ with their supply chain partners, with their nation-state, and in the case of multi-nationals, with multiple states. These ‘relations’ include legal and contractual obligations, shareholder good-will, environmental and sustainability responsibilities, to name a few. As hinted, a view of resilience as ‘resistance, capacity and adaptation’ may be useful.
In a similar way to the military, security managers have increasingly developed a doctrine, a suite of tried and tested high-level strategies, tactics and operational tool-kits which can guide decision-making and action. Pervious articles in this series, the body of knowledge (Talbot and Jakeman, 2009) and a suite of standards which may contribute to resilient practice (see, for example, ASIS/ANSI SPC1:2009: Wylde 2014),) through offering a wealth of tried and tested methods and examples of good practice. As we’ve reflected, a knowledge and application of resilience may help to assist security managers’ continually improve and reflect on their security strategy and operations. With this level of understanding of a potentially complex concept such as resilience, security managers can continue to demonstrate their maturity as a profession, as well as their credibility and knowledge in contributing to company and shareholder value and, importantly, continuing to gain support from top management.
In this short article, the aim was to illustrate that modern security managers are in a lucky position, importantly able to recognise that resilience is nuanced and able to draw from a range of approaches and concepts. Security managers can choose an approach to suit their organisation’s needs. As discussed, there are differences of opinion in the academy concerning resilience; notably, resistance, capacity and adaptation. Security managers can draw from established practices, for example, from the Security Risk Management Body of Knowledge (Talbot and Jakeman, 2009) and other publications and from membership associations and standards-setting organisations (for example, ASIS International) . Finally, security managers may decide to share their high-level strategy and tactical toolkits with one another through participating in conferences, in academic projects and with their trusted partners. In this way we all benefit and continue to develop as professionals.
Dr Allison Wylde is a member of the ASIS International Commission on Standards and Governance and Co-chaired the ASIS/ ANSI (2012) Security Management Standard on Physical Asset Protection, her research concerns security practitioners’ perceptions in security decision-making. If you have any comments or questions please email: wyldea@regents.ac.uk.
Sources
ASIS International/American National Standards Institute (ANSI) (2009) ASIS/ANSI SPC1:2009, Organizational Resilience. ASIS International: Alexandria VA.
ASIS International/American National Standards Institute (ANSI) (2012) ASIS/ ANSI PAP-1:2012, Security Management Standard: Physical Asset Protection. ASIS International: Alexandria VA.
Egan J. (2015) An argument regarding the desirability of standards amongst scholars in the Brand Identity and Corporate Reputation Special Interest Group meeting, at the British Academy of Marketing Conference. Bournemouth Univerity:7-10/July/2014. Personal comment:28/May/2015.
Google Scholar, (2015) ‘Resilience’. Google Scholar, website. https://scholar.google.co.uk/scholar?hl=en&q=resilience&btnG=&as_sdt=1%2C5&as_sdtp=
Oxford English Dictionary (OED) (2015), Resilience. OED website, accessed, 30/June/2015, available from http://www.oxforddictionaries.com/definition/english/resilience
Talbot J. and Jakeman M. (2009) Security Risk Management Body of Knowledge, Wiley Series in Systems Engineering and Management. Wiley: Hoboken, NJ.
Wylde A. (2014), Supply Chain Risk Management: focusing on best practice. Risk-UK, online Publication: September 2014. [Available from http://www.risk-uk.com/issues/risksep14.htm last accessed 17/10/14]
First, we will explore what is agreed upon (and what is not) when we speak about resilience – as there are some differences of opinion. Secondly, we will consider what resilience means in practice and, finally, we will explore how a resilience way of thinking may help security professionals to build upon their high-level strategy and tactical toolkits.
Among security managers and the academic community, resilience has received a mixed reception. Some security managers and academics see resilience as a new and preferred way of thinking, at the same time others may hold a less favourable view, preferring to hold on to their own way of doing things. Yet others may say, not for me, no more hot topics… no more change.
In universities many academics argue forcefully for their own particular viewpoint of resilience, drawing from their own research findings to support their opinions. This position exists in universities partly because of academia silos, with academics protecting their own boundaries with their own research agenda and often through using their own language. When Engineers and IT researchers speak about resilience they may mean something different to Environmental scientists (I speak as a former bench scientist). In the clinical and behavioural sciences, for example, in Early Childhood studies, there is more variation in viewpoints about resilience. Yet, all these academics claim that their own, specialist, viewpoint of resilience is correct. A recent example from an international conference concerned an argument between several eminent Marketing Professors, regarding whether or not “standards” should be “allowed” into the Academy (per comm. Egan, 2015). Let’s now look at what we mean by resilience in more detail, and later we will see ‘strength’ in understanding these different opinions.
A dictionary definition of resilience lists: the act or rebounding back; elasticity; remaining in an original shape after compression; and, the energy absorbed after strain (OED, website, 2015). However, much of the resilience thinking in security at present seems to focus simply on adaptation. But, as the OED definition states, there is more to resilience. Let us look to the academy and see what ideas we can draw from. In engineering and IT one part of resilience refers to the ‘resistance’ of a component, in other words, the length of time a component may sustain an adverse load before it changes state or fails. In environmental science, resilience is viewed from a systems approach with individual ‘agents’ (individual organisms, organisations, ecosystem or biospheres) responding to many systems, which are all interacting with one another at the same time. The notion of ‘carrying capacity’ is used to illustrate the maximum population a system can withstand to remain in stasis. For example, the numbers of predators versus prey in a particular eco-system; if there are too many predators, problems for the prey will occur. In another example, as consequence of too many algae in a watercourse, the water is poisoned as a result of the algae’s waste which kills the fish (through too much nitrogen), and so on. In Early Childhood Studies, the focus is on children’s ‘adaptive’ behaviour - after trauma. However, in revisiting the example of predators and prey, algae and fish, adaptation is clearly too slow a process; the predators may have killed the prey and the nitrogen the fish, long before they’ve had a chance to adapt. So, in taking these ideas from the academy, in particular; resistance, capacity, balance (stasis) and of course adaptation, security managers may look anew at the risk assessment of their assets. Which categories of assets have the best resistance, capacity (stasis) or capability for adaptation as compared with those assets which have the least?
So, if modern security managers take a pragmatic approach, then we could say we are in a lucky position, able to pick and choose theories that are useful for security practice. Systems thinking may also be useful since modern organisations are embedded in ‘relations’ with their supply chain partners, with their nation-state, and in the case of multi-nationals, with multiple states. These ‘relations’ include legal and contractual obligations, shareholder good-will, environmental and sustainability responsibilities, to name a few. As hinted, a view of resilience as ‘resistance, capacity and adaptation’ may be useful.
In a similar way to the military, security managers have increasingly developed a doctrine, a suite of tried and tested high-level strategies, tactics and operational tool-kits which can guide decision-making and action. Pervious articles in this series, the body of knowledge (Talbot and Jakeman, 2009) and a suite of standards which may contribute to resilient practice (see, for example, ASIS/ANSI SPC1:2009: Wylde 2014),) through offering a wealth of tried and tested methods and examples of good practice. As we’ve reflected, a knowledge and application of resilience may help to assist security managers’ continually improve and reflect on their security strategy and operations. With this level of understanding of a potentially complex concept such as resilience, security managers can continue to demonstrate their maturity as a profession, as well as their credibility and knowledge in contributing to company and shareholder value and, importantly, continuing to gain support from top management.
In this short article, the aim was to illustrate that modern security managers are in a lucky position, importantly able to recognise that resilience is nuanced and able to draw from a range of approaches and concepts. Security managers can choose an approach to suit their organisation’s needs. As discussed, there are differences of opinion in the academy concerning resilience; notably, resistance, capacity and adaptation. Security managers can draw from established practices, for example, from the Security Risk Management Body of Knowledge (Talbot and Jakeman, 2009) and other publications and from membership associations and standards-setting organisations (for example, ASIS International) . Finally, security managers may decide to share their high-level strategy and tactical toolkits with one another through participating in conferences, in academic projects and with their trusted partners. In this way we all benefit and continue to develop as professionals.
Dr Allison Wylde is a member of the ASIS International Commission on Standards and Governance and Co-chaired the ASIS/ ANSI (2012) Security Management Standard on Physical Asset Protection, her research concerns security practitioners’ perceptions in security decision-making. If you have any comments or questions please email: wyldea@regents.ac.uk.
Sources
ASIS International/American National Standards Institute (ANSI) (2009) ASIS/ANSI SPC1:2009, Organizational Resilience. ASIS International: Alexandria VA.
ASIS International/American National Standards Institute (ANSI) (2012) ASIS/ ANSI PAP-1:2012, Security Management Standard: Physical Asset Protection. ASIS International: Alexandria VA.
Egan J. (2015) An argument regarding the desirability of standards amongst scholars in the Brand Identity and Corporate Reputation Special Interest Group meeting, at the British Academy of Marketing Conference. Bournemouth Univerity:7-10/July/2014. Personal comment:28/May/2015.
Google Scholar, (2015) ‘Resilience’. Google Scholar, website. https://scholar.google.co.uk/scholar?hl=en&q=resilience&btnG=&as_sdt=1%2C5&as_sdtp=
Oxford English Dictionary (OED) (2015), Resilience. OED website, accessed, 30/June/2015, available from http://www.oxforddictionaries.com/definition/english/resilience
Talbot J. and Jakeman M. (2009) Security Risk Management Body of Knowledge, Wiley Series in Systems Engineering and Management. Wiley: Hoboken, NJ.
Wylde A. (2014), Supply Chain Risk Management: focusing on best practice. Risk-UK, online Publication: September 2014. [Available from http://www.risk-uk.com/issues/risksep14.htm last accessed 17/10/14]
ASIS Italy and ASIS Southern CT Chapters Join Forces!
17 novembre 2015
A new day has dawned – the era of ASIS International Sister Chapters is official. Two years in the making ASIS Italy and ASIS Southern CT have made it official. The idea is to share best practices between two distant regions of the world, and to promote the international nature of Security, Life Safety, Business Continuity, and Emergency Response. At the moment our plans are modest and in development; we plan to have links and pages for each other’s chapters on our respective web sites, we plan on having regular phone and skype meetings, we plan on being connected on LinkedIn and sharing posts and comments, we plan on sharing other publications including “white papers”, we plan on meeting at our annual conferences. We are open to your suggestions and to your replicating our initiatives as they work for you.
Copyright © 2015. Felix A. Giannini FPE, CPP. All rights reserved.
A new day has dawned – the era of ASIS International Sister Chapters is official. Two years in the making ASIS Italy and ASIS Southern CT have made it official. The idea is to share best practices between two distant regions of the world, and to promote the international nature of Security, Life Safety, Business Continuity, and Emergency Response. At the moment our plans are modest and in development; we plan to have links and pages for each other’s chapters on our respective web sites, we plan on having regular phone and skype meetings, we plan on being connected on LinkedIn and sharing posts and comments, we plan on sharing other publications including “white papers”, we plan on meeting at our annual conferences. We are open to your suggestions and to your replicating our initiatives as they work for you.
Copyright © 2015. Felix A. Giannini FPE, CPP. All rights reserved.
ASIS ITALY CHAPTER:
INTERVENTO DEL GENERALE ISRAELIANO, AMOS YADLIN, AL
SECURITY WORKSHOP IN AMBITO FINANCE
Milano 11 novembre 2015 – Si è tenuto a Milano, presso la sede di Axitea, il SECURITY WORKSHOP indirizzato al settore Finance, organizzato da ASIS Italy - Chapter di Asis International la più grande associazione mondiale di professionisti della sicurezza - che ha come missione la promozione e lo sviluppo dell'eccellenza e della leadership degli esperti di sicurezza. Il seminario è stato moderato dall’Ing. Marco Bavazzano, Presidente di Asis Chapter Italy e CEO di Axitea.
Ospite speciale dell’incontro, curato dal Consiglio Direttivo di ASIS Italy Chapter, il Generale israeliano *Amos Yadlin, Executive Director INSS (Institute for National Security Studies) che è intervenuto parlando dello “Stato dell’arte della Cyber Security”.
Il Generale, che ha operato per più di 40 anni nelle Forze di Difesa Israeliane (IDF), ha sottolineato nella sua “lecture” riservata ai partecipanti del Workshop, le criticità del panorama attuale nell’ambito della Cyber Security, all’incrocio tra scenari geopolitici ed industriali. Yadlin ha ripercorso l’evoluzione delle dinamiche di attacco e di minaccia che negli ultimi anni hanno caratterizzato gli scenari di mercato, identificando i principali rischi in termini di data corruption, perdita di informazioni critiche, interruzione delle attività di business, frode e sottrazione di denaro. Gli attacchi dell’ultimo periodo si sono concentrati in particolare negli ambiti finance e insurance con danni rilevanti e la lecture ha evidenziato, in particolare, un aumento delle minacce a sistemi come SCADA, nelle infrastrutture mission critical, anche in relazione alla diffusione sempre maggiore dell’Internet Of Things.
Al workshop è intervenuto poi **Gianluca Vadruccio, ICT Security Manager EXPO 2015, con un intervento dal titolo: “La visibilità mondiale e la tutela dell’immagine. Peculiarità di un evento universale”. Vadruccio ha evidenziato l’elevata complessità dell’evento milanese dal punto di vista della sicurezza e della protezione, considerando i differenti aspetti, come i volumi di persone, la numerosità degli stakeholder coinvolti, la visibilità e l’attrattiva che la manifestazione ha avuto soprattutto per i potenziali hacker. La cyber strategy, l’adattamento continuo delle procedure operative ed un’attenta gestione dei punti critici – insieme ad un monitoraggio puntuale e continuo – sono le best practice che hanno permesso e garantito la buona riuscita dell’evento e la “salvaguardia informatica” del sistema Expo.
*Biografia di Amos Yadlin
Il Generale Yadlin (ora in pensione) è il Direttore dell’Institute for National Security Studies (INSS), uno dei 10 più accreditati Thinktank nel mondo. L'INSS di Tel Aviv svolge attività di ricerca e di studio nell’ambito della Sicurezza Strategica. Nato nel 1951, Amos Yadlin ha operato per più di 40 anni nelle Forze di Difesa Israeliane (IDF). Nella sua lunga carriera nelle Forze di Difesa Israeliane, Yadlin ha ricoperto diversi importanti ruoli: Chief Defense Intelligence, Comandante IDF dell’Università Militare e del Collegio di Difesa Nazionale. Yadlin ha anche lavorato come Capo del Dipartimento di Pianificazione IAF, oltre ad avere al suo attivo numerose operazioni in teatri di guerra. La formazione universitaria del Generale include un Dottorato in Economia e Gestione Aziendale presso l’Università Ben Gurion del Negev ed un Master in Public Administration presso la John F. Kennedy School of Government dell'Università di Harvard.
** Biografia Gianluca Vadruccio
Gianluca Vadruccio, attualmente Security Manager di EXPO2015, è ingegnere informatico del Policlinico di Milano con un Master Cefriel ed una esperienza ventennale nella sicurezza informatica, nella definizione e realizzazione di strategie di Cyber Security, di Incident Handling e di Security Operation Center. È stato anche Responsabile delle Infrastrutture presso l'Ospedale Policlinico di Milano, ha svolto la funzione di relatore e tutor presso l’Università Statale di Milano e condotto numerosi seminari sulla sicurezza informatica presso università ed associazioni di settore.
Ospite speciale dell’incontro, curato dal Consiglio Direttivo di ASIS Italy Chapter, il Generale israeliano *Amos Yadlin, Executive Director INSS (Institute for National Security Studies) che è intervenuto parlando dello “Stato dell’arte della Cyber Security”.
Il Generale, che ha operato per più di 40 anni nelle Forze di Difesa Israeliane (IDF), ha sottolineato nella sua “lecture” riservata ai partecipanti del Workshop, le criticità del panorama attuale nell’ambito della Cyber Security, all’incrocio tra scenari geopolitici ed industriali. Yadlin ha ripercorso l’evoluzione delle dinamiche di attacco e di minaccia che negli ultimi anni hanno caratterizzato gli scenari di mercato, identificando i principali rischi in termini di data corruption, perdita di informazioni critiche, interruzione delle attività di business, frode e sottrazione di denaro. Gli attacchi dell’ultimo periodo si sono concentrati in particolare negli ambiti finance e insurance con danni rilevanti e la lecture ha evidenziato, in particolare, un aumento delle minacce a sistemi come SCADA, nelle infrastrutture mission critical, anche in relazione alla diffusione sempre maggiore dell’Internet Of Things.
Al workshop è intervenuto poi **Gianluca Vadruccio, ICT Security Manager EXPO 2015, con un intervento dal titolo: “La visibilità mondiale e la tutela dell’immagine. Peculiarità di un evento universale”. Vadruccio ha evidenziato l’elevata complessità dell’evento milanese dal punto di vista della sicurezza e della protezione, considerando i differenti aspetti, come i volumi di persone, la numerosità degli stakeholder coinvolti, la visibilità e l’attrattiva che la manifestazione ha avuto soprattutto per i potenziali hacker. La cyber strategy, l’adattamento continuo delle procedure operative ed un’attenta gestione dei punti critici – insieme ad un monitoraggio puntuale e continuo – sono le best practice che hanno permesso e garantito la buona riuscita dell’evento e la “salvaguardia informatica” del sistema Expo.
*Biografia di Amos Yadlin
Il Generale Yadlin (ora in pensione) è il Direttore dell’Institute for National Security Studies (INSS), uno dei 10 più accreditati Thinktank nel mondo. L'INSS di Tel Aviv svolge attività di ricerca e di studio nell’ambito della Sicurezza Strategica. Nato nel 1951, Amos Yadlin ha operato per più di 40 anni nelle Forze di Difesa Israeliane (IDF). Nella sua lunga carriera nelle Forze di Difesa Israeliane, Yadlin ha ricoperto diversi importanti ruoli: Chief Defense Intelligence, Comandante IDF dell’Università Militare e del Collegio di Difesa Nazionale. Yadlin ha anche lavorato come Capo del Dipartimento di Pianificazione IAF, oltre ad avere al suo attivo numerose operazioni in teatri di guerra. La formazione universitaria del Generale include un Dottorato in Economia e Gestione Aziendale presso l’Università Ben Gurion del Negev ed un Master in Public Administration presso la John F. Kennedy School of Government dell'Università di Harvard.
** Biografia Gianluca Vadruccio
Gianluca Vadruccio, attualmente Security Manager di EXPO2015, è ingegnere informatico del Policlinico di Milano con un Master Cefriel ed una esperienza ventennale nella sicurezza informatica, nella definizione e realizzazione di strategie di Cyber Security, di Incident Handling e di Security Operation Center. È stato anche Responsabile delle Infrastrutture presso l'Ospedale Policlinico di Milano, ha svolto la funzione di relatore e tutor presso l’Università Statale di Milano e condotto numerosi seminari sulla sicurezza informatica presso università ed associazioni di settore.
MASTER UNIVERSITARIO di 2° LIVELLO
in Homeland Security
CONVEGNO: da EXPO al GIUBILEO
Esperienze a confronto per la gestione della sicurezza
Giovedì 19 novembre 2015 - ore 09:00 - Roma
Domani prende il via il Festival ICT 2015
Il festival ICT si conferma il nuovo evento italiano di riferimento per l'intero settore. Dopo il grande esordio della prima edizione e dopo la riconferma del successo lo scorso anno, il festival ICT si prepara all'edizione 2015 con tutte le premesse positive.
L'agenda è ricchissima: 74 interventi a programma sui temi più importanti dell'ICT: Security, Cloud Computing, Internet of Things, Big Data, Virtualizzazione, Storage, Networking, Unified Communication, Collaboration, Privacy, soluzioni Datacenter, Opensource, Software, Programmazione, Telecomunicazioni e tantissimi altri temi di rilievo.
L'evento attende 1250 visitatori che avranno la possibilità di conoscere e relazionare con i 71 relatori del festival ICT e le 57 prestigiose aziende Sponsor.
Inoltre, saranno presenti 40 community, associazioni ed users group ICT che con le proprie competenze ed esperienze saranno a disposizione del pubblico per creare nuovi contatti professionali e scambiare informazioni.
La partecipazione è GRATUITA ma vietata ai cacciatori di gadget ed agli strappacataloghi.
Registrati cliccando qui.
L'agenda è ricchissima: 74 interventi a programma sui temi più importanti dell'ICT: Security, Cloud Computing, Internet of Things, Big Data, Virtualizzazione, Storage, Networking, Unified Communication, Collaboration, Privacy, soluzioni Datacenter, Opensource, Software, Programmazione, Telecomunicazioni e tantissimi altri temi di rilievo.
L'evento attende 1250 visitatori che avranno la possibilità di conoscere e relazionare con i 71 relatori del festival ICT e le 57 prestigiose aziende Sponsor.
Inoltre, saranno presenti 40 community, associazioni ed users group ICT che con le proprie competenze ed esperienze saranno a disposizione del pubblico per creare nuovi contatti professionali e scambiare informazioni.
La partecipazione è GRATUITA ma vietata ai cacciatori di gadget ed agli strappacataloghi.
Registrati cliccando qui.
Organizational Resilience:
Understanding the Concept behind the Buzz Word.
Dr. Marc H. Siegel
Commissioner, Global Standards Initiative - ASIS International, European Bureau
“Organizational resilience” is a term that is so over used that at times it seems to have become meaningless. From government programs, to standards bodies, to the private sector it seems to be the term "du jour" everyone wants to use to market their program and services. Ironically, one of the key factors related to the concept of building a resilience organization has been lost in all the noise. As businesses realize that a proactive and multidisciplinary integrated approach to managing an array of risks provides efficiencies, proponents of various risk disciplines seem to want to claim the term to promote their discipline and specialized services. It is time to move past the buzz word and focus on the concept of building a cohesive resilient organization. This means focusing on fundamental principles of a good integrated business and risk management system.All activities involve a certain amount of risk and uncertainty. Uncertainty is the state where outcomes are unknown, undetermined, or undefined; or where there is a lack of sufficient information. Outcomes may be positive or negative. Individuals, organizations, and communities must decide how much risk and uncertainty they are willing to accept or take in order to achieve their objectives and desired outcomes. Objectives may include short and long term strategic goals related to the whole or parts of the organization and its value chain, as well as operational and tactical issues at all levels of the organization. Therefore, the management of strategic, operational, and tactical risks will depend on the organization’s objectives, appetite for risk, and its desire to exploit an opportunity or minimize a potential negative consequence. Clearly, there is no simple formula or standardized approach to managing risk and building resilience.
Resilience becomes an important concept to integrate into the risk management process because it promotes a perspective of enterprise-wide agility and adaptability. Resilience emphasizes that managing risk is both multi-dimensional and time dependent. Resilience focuses the management of risk on enhancing the adaptive capacity in an ever changing environment. Therefore, resilience considers how to fully integrate a holistic and proactive risk management perspective into good business management practice, particularly long and short term decision making. Not only is it the convergence of various risk disciplines, but this is done within the context of strategic, operational, and tactical objectives of the organization across the enterprise. Resilience emphasizes that organizations assume they are always operating in a dynamic and uncertain environment. Resilience requires both the convergence of risk disciplines as well as eliminating organizational siloes to have a coordinated plan for managing risk throughout the enterprise.
Resilience is not something that is inherent to an organization. An adaptive capacity develops as organizations mature, learn from successes and mistakes, improve their management and decision making skills, and gain better insights and more knowledge about the internal and external factors that may impact performance. Resilience also comes from supportive relationships, cultural perspectives, and individuals’ ability to cope with stress and adversity. Therefore, resilience is a function of a variety of behaviors, thoughts, and actions that can be learned and developed over time.
Resilience in organizations is like resilience in people in that it is not a trait but rather a perspective of living with risk. Resilient organizations integrate risk management into all their decision making processes. By assuming that risk and uncertainty exists in all endeavors means that decision makers can adapt, absorb, and recover from negative consequences while also positioning the organization to identify and exploit opportunities. Organizations that cultivate problem-solving skills throughout the organization will increase their resilience capacity. This capacity is enhanced by recognizing that coping with adversity is not simply about bouncing back but learning and adapting expeditiously. Resilience emphasizes a process of managing adversity, learning, and persevering using a systems approach to management. Business and risk management are not just about having all the elements in place for good management practice but also understanding the relationships between all the elements that make up the whole. Problems are solved by considering future outcomes and where the organization wants or needs to go. The thought process is proactive and preemptive emphasizing that adaption before a potential event may occur provides efficiencies. Planning to manage risks is integrated into all aspects of business management rather than just reacting to events when they may occur. However, business and risk management strategies recognize that not all uncertainties and their outcomes can be identified or quantified, so the criticality of assets, activities and services are determined for sustainable operations. Recovery is not about going back to “normal” but considering the context of the changed environment, determining where the organization is best positioned.
Being a resilient organization means efficiently tapping into its human, tangible, and intangible resources. All organizations have resource limitations. Understanding risk management within the context of these resource limitations enables an organization of better identify its strengths and leverage them. The problem solving approach needs to consider the organizations dependencies and interdependencies. Resilient organizations develop strong networks and relationships with stakeholders, other organizations, and the community. The organization understands its position in the bigger picture and both learns from observing others, sharing appropriate information, and knowing where to seek help when needed. Resilient organizations are resourceful and recognize that relationships with stakeholders are among their most important resources. A resilient organization will foster meaning and purpose for their stakeholders to work for the common benefit of all.
Improving communication and consultation skills is essential to building resilience. Risk is best managed with ongoing consultation and two-way communication with stakeholders. A resilient organization will build the mechanisms needed to support both a top-down and bottom-up flow of information. Empowering people at all levels of the organization to be heard will foster the sense of inclusiveness that encourages the sharing of their ideas. This helps to promote a risk culture where risk makers and risk takers understand that they are also risk owners and risk managers. A better flow of information based on a sense of inclusion promotes informed decision making. By communicating that continual innovation, creativity, and information/knowledge acquisition are core values of the organization, persons working on behalf of the organization will be empowered to proactively identify and address concerns thereby enhancing agility and an adaptive capacity. It also promotes a sense of ownership and control throughout the organization. People will sense that they are part of the solution and not the problem.
Change is one of the few constants in the world. Therefore, resilience and an adaptive capacity shifts the perspective of risk treatment from recovering from adverse events to a hierarchy of anticipate, avoid, prevent, protect, mitigate, respond, and recover. This requires ongoing situational awareness and monitoring with an emphasis on identifying indicators of change, before an event occurs, and developing risk treatment strategies that allows the organization to preemptively adapt, be better prepared to absorb a blow, learn from its experiences and that of others, and evolve into a stronger organization.
Being resilient does not mean an organization will not suffer the consequences of change and adversity, rather the organization is better positioned to quickly identify, learn, and adapt to change and adversity. It is an evolutionary process. Recognizing new opportunities and possibilities does not require abrupt or impulsive change, it requires a measured approached based on best available information.
In conclusion, organizational resilience takes a forward looking view of risk. Building resilience in an organization means viewing risk as inevitable and having the potential for positive outcomes. People in a resilient organization ask themselves: “what are the positive changes we can make to strengthen the organization?” It means better understanding where you are to know where you are going. It also means acknowledging weaknesses and threats in order to build strengths and opportunities.
Resilience becomes an important concept to integrate into the risk management process because it promotes a perspective of enterprise-wide agility and adaptability. Resilience emphasizes that managing risk is both multi-dimensional and time dependent. Resilience focuses the management of risk on enhancing the adaptive capacity in an ever changing environment. Therefore, resilience considers how to fully integrate a holistic and proactive risk management perspective into good business management practice, particularly long and short term decision making. Not only is it the convergence of various risk disciplines, but this is done within the context of strategic, operational, and tactical objectives of the organization across the enterprise. Resilience emphasizes that organizations assume they are always operating in a dynamic and uncertain environment. Resilience requires both the convergence of risk disciplines as well as eliminating organizational siloes to have a coordinated plan for managing risk throughout the enterprise.
Resilience is not something that is inherent to an organization. An adaptive capacity develops as organizations mature, learn from successes and mistakes, improve their management and decision making skills, and gain better insights and more knowledge about the internal and external factors that may impact performance. Resilience also comes from supportive relationships, cultural perspectives, and individuals’ ability to cope with stress and adversity. Therefore, resilience is a function of a variety of behaviors, thoughts, and actions that can be learned and developed over time.
Resilience in organizations is like resilience in people in that it is not a trait but rather a perspective of living with risk. Resilient organizations integrate risk management into all their decision making processes. By assuming that risk and uncertainty exists in all endeavors means that decision makers can adapt, absorb, and recover from negative consequences while also positioning the organization to identify and exploit opportunities. Organizations that cultivate problem-solving skills throughout the organization will increase their resilience capacity. This capacity is enhanced by recognizing that coping with adversity is not simply about bouncing back but learning and adapting expeditiously. Resilience emphasizes a process of managing adversity, learning, and persevering using a systems approach to management. Business and risk management are not just about having all the elements in place for good management practice but also understanding the relationships between all the elements that make up the whole. Problems are solved by considering future outcomes and where the organization wants or needs to go. The thought process is proactive and preemptive emphasizing that adaption before a potential event may occur provides efficiencies. Planning to manage risks is integrated into all aspects of business management rather than just reacting to events when they may occur. However, business and risk management strategies recognize that not all uncertainties and their outcomes can be identified or quantified, so the criticality of assets, activities and services are determined for sustainable operations. Recovery is not about going back to “normal” but considering the context of the changed environment, determining where the organization is best positioned.
Being a resilient organization means efficiently tapping into its human, tangible, and intangible resources. All organizations have resource limitations. Understanding risk management within the context of these resource limitations enables an organization of better identify its strengths and leverage them. The problem solving approach needs to consider the organizations dependencies and interdependencies. Resilient organizations develop strong networks and relationships with stakeholders, other organizations, and the community. The organization understands its position in the bigger picture and both learns from observing others, sharing appropriate information, and knowing where to seek help when needed. Resilient organizations are resourceful and recognize that relationships with stakeholders are among their most important resources. A resilient organization will foster meaning and purpose for their stakeholders to work for the common benefit of all.
Improving communication and consultation skills is essential to building resilience. Risk is best managed with ongoing consultation and two-way communication with stakeholders. A resilient organization will build the mechanisms needed to support both a top-down and bottom-up flow of information. Empowering people at all levels of the organization to be heard will foster the sense of inclusiveness that encourages the sharing of their ideas. This helps to promote a risk culture where risk makers and risk takers understand that they are also risk owners and risk managers. A better flow of information based on a sense of inclusion promotes informed decision making. By communicating that continual innovation, creativity, and information/knowledge acquisition are core values of the organization, persons working on behalf of the organization will be empowered to proactively identify and address concerns thereby enhancing agility and an adaptive capacity. It also promotes a sense of ownership and control throughout the organization. People will sense that they are part of the solution and not the problem.
Change is one of the few constants in the world. Therefore, resilience and an adaptive capacity shifts the perspective of risk treatment from recovering from adverse events to a hierarchy of anticipate, avoid, prevent, protect, mitigate, respond, and recover. This requires ongoing situational awareness and monitoring with an emphasis on identifying indicators of change, before an event occurs, and developing risk treatment strategies that allows the organization to preemptively adapt, be better prepared to absorb a blow, learn from its experiences and that of others, and evolve into a stronger organization.
Being resilient does not mean an organization will not suffer the consequences of change and adversity, rather the organization is better positioned to quickly identify, learn, and adapt to change and adversity. It is an evolutionary process. Recognizing new opportunities and possibilities does not require abrupt or impulsive change, it requires a measured approached based on best available information.
In conclusion, organizational resilience takes a forward looking view of risk. Building resilience in an organization means viewing risk as inevitable and having the potential for positive outcomes. People in a resilient organization ask themselves: “what are the positive changes we can make to strengthen the organization?” It means better understanding where you are to know where you are going. It also means acknowledging weaknesses and threats in order to build strengths and opportunities.
La Resilienza delle organizzazioni - puntata # 4
ASItaly n° 34-Agosto 2015
“Organizational resilience” è un’espressione talmente abusata da essersi ormai svuotata di contenuti. Dai programmi governativi agli enti di standardizzazione, fino al settore privato: resilienza organizzativa è la parola più in voga per promuovere progetti o ser vizi. Ironia del destino, in questo straparlare di organizational resilience si è perso uno dei fattori chiave per costruire la vera resilienza aziendale. Proprio quando infatti le aziende cominciano a realizzare che un approccio integrato, proattivo e multidisciplinare alla gestione dei rischi può generare efficienze, chi si occupa di specifiche discipline afferenti al rischio reclama la paternità di tale espressione per promuovere i propri ser vizi. Ebbene, è ora di uscire dal solito blablabla e di concentrarsi sulla costruzione di un’organizzazione che sia coesiva e resiliente. Questo significa focalizzarsi sui principi fondamentali di un buon sistema integrato di gestione aziendale e del rischio.
NIENTE APPROCCIO STANDARD
Qualunque attività è soggetta ad una serie di rischi ed incertezze. L’incertezza è uno stato le cui conseguenze sono ignote, indeterminate o indefinite, o laddove vi sia una carenza di informazione. Le conseguenze possono insomma essere sia positive che negative. Soggetti singoli, strutture aziendali e comunità devono decidere quale livello di rischio e incertezza intendono accettare e prendersi in carico per raggiungere i propri scopi ed obiettivi. Tali scopi possono includere obiettivi strategici a lungo o breve termine, obiettivi legati all’intera o a una sola parte dell’organizzazione e della sua catena del valore, ma anche questioni tattiche o operative a tutti i livelli aziendali. La gestione di tali rischi, pertanto, dipende dagli obiettivi della struttura, dalla sua voglia di rischiare o di cogliere un’opportunità o di minimizzare una possibile conseguenza negativa. E’ quindi di tutta evidenza che non possa esistere formula univoca o approccio standardizzato in materia.
STOP AI SILOS
La resilienza diventa importante da integrare nel processo di gestione del rischio perché promuove e al contempo richiede una logica di estrema adattabilità e snellezza organizzativa. La resilienza enfatizza infatti la gestione del rischio, sia nella sua multi-dimensionalità che nella sua durata temporale. La resilienza si basa sul principio che la gestione del rischio debba accrescere la capacità di adattamento in un ecosistema in costante cambiamento. Pertanto, la resilienza valuta in che modo integrare pienamente una gestione del rischio olistica e proattiva all’interno di buone pratiche di gestione aziendale, particolarmente nei processi decisionali a lungo e breve termine. Non si tratta solo di far convergere varie discipline afferenti al rischio, ma di farlo nel contesto degli obiettivi strategici, operativi e tattici dell’organizzazione d’impresa. La resilienza enfatizza il fatto che le organizzazioni diano per assunto di operare costantemente in un contesto dinamico e incerto. La resilienza esige sia di far convergere le discipline afferenti al rischio, sia di eliminare i “silos” organizzativi, e quindi di raggiungere un piano coordinato di gestione del rischio per l’intera attività d’impresa.
UN’OPPORTUNITÀ DI BUSINESS
La resilienza non è qualcosa di nativo, di insito nell’organizzazione: la capacità di adattamento si sviluppa infatti con la maturazione dell’organizzazione stessa, si apprende da successi e insuccessi, cresce assieme alle capacità di prendere decisioni e alla conoscenza e all’approfondimento dei fattori, interni ed esterni, che possono influire sulle performance aziendali. La resilienza nasce anche da relazioni di contorno, prospettive culturali e in genere dalla capacità dei singoli di affrontare stress e avversità. Pertanto, la resilienza è in funzione di una varietà di comportamenti, pensieri e azioni che possono essere appresi e sviluppati in qualunque momento. All’interno delle organizzazioni aziendali, la resilienza somiglia alla resilienza umana nel fatto di non rappresentare tanto una caratteristica, quanto piuttosto una prospettiva del vivere in costanza di rischio: le organizzazioni resilienti integrano infatti la gestione del rischio in tutti i loro processi decisionali. Dare per assunto che rischi ed incertezze esistano in ogni circostanza significa che i decisori possano adeguarsi alle negatività, attutire i colpi e rimettersi in sesto ma al contempo identificare e cogliere delle opportunità di business. Le strutture che coltivano una cultura di problem-solving accresceranno questa loro resilienza (abilità che si sviluppa maggiormente allorquando si riconosce che fronteggiare un’avversità non significa necessariamente o soltanto fare un passo indietro, bensì rappresenta una possibilità di conoscenza e quindi di adattabilità). La resilienza promuove un processo di gestione degli eventi avversi, di conoscenza e di perseveranza utilizzando un approccio sistemico. Gestire un’azienda e i rischi cui essa è esposta non significa solo disporre di tutti gli elementi per una buona gestione, ma anche comprendere le molte relazioni che insistono tra tutti questi elementi. I problemi vanno infatti affrontati pensando anche agli scenari che si potrebbero profilare in futuro, anche in considerazione della direzione che l’azienda vuole prendere. E’ quindi un processo proattivo e preventivo/predittivo, che mette in luce il fatto che adattarsi a livello organizzativo prima che un evento si manifesti può generare nuove efficienze. Pianificare una gestione del rischio in maniera integrata rispetto a tutti gli aspetti della gestione aziendale è del resto diverso dal semplice reagire ad eventi che si dovessero presentare. Tuttavia, le strategie di business e risk management riconoscono che non tutti i fattori di incertezza, e soprattutto i loro possibili risultati, possano essere identificati o quantificati, perciò le criticità degli assett, delle attività e dei ser vizi sono determinate per delle operazioni sostenibili. “Recuperare” (la famosa recovery) non significa solo rientrare alla normalità, ma considerare il nuovo contesto derivante dal diverso ambiente operativo e (ri)determinare i punti dove la struttura è meglio posizionata. Essere un’organizzazione resiliente significa saper sfruttare in maniera efficiente tutte le sue risorse: umane, tangibili e intangibili. E poiché qualsiasi realtà dispone di risorse limitate, comprendere il risk management nel contesto di queste limitazioni permette all’azienda di individuare prima i propri punti di forza e di fare meglio leva sugli stessi. L’approccio al “problem solving” deve poi considerare le dipendenze e le interdipendenze aziendali: le organizzazioni resilienti sviluppano una rete forte di relazioni con gli stakeholder, le altre realtà aziendali e la comunità. Attraverso queste relazioni l’azienda è in grado di individuare la propria collocazione in un quadro più ampio, può imparare osservando e condividendo informazioni e sa dove cercare quando ser ve aiuto. Le organizzazioni resilienti hanno tante risorse, e sanno bene che le relazioni con gli stakeholder sono quelle di gran lunga più importanti. Un’organizzazione resiliente deve quindi saper incoraggiare e motivare gli stakeholder a lavorare per il bene comune. Promuovere le abilità comunicative e le consultazioni è quindi essenziale per accrescere la resilienza perché il rischio è meglio gestito con continue consultazioni e comunicazioni bidirezionali con gli stakeholder. Un’organizzazione resiliente crea quindi meccanismi tali da supportare sia un flusso di informazioni top-down che bottom-up: abilitare tutti, a tutti i livelli organizzativi, ad essere ascoltati rafforza il senso di inclusione che porta poi alla condivisione di pensieri e di idee. Ciò alimenta la diffusione di quella cultura del rischio per la quale sia chi lo può generare, sia chi lo corre comprende di essere egli stesso portatore e manager del rischio stesso. Un migliore flusso di informazioni basato sul senso di inclusione a sua volta promuove un’assunzione di decisioni più informata. Sostenendo che l’innovazione continua, la creatività e l’acquisizione di informazioni e competenze sono valori “core” per l’azienda, le persone che in essa lavorano avranno un approccio proattivo alle problematiche, contribuendo esse stesse ad incrementare la capacità di adattamento dell’organizzazione. Nel contempo si costruirà un senso di governo della situazione capace di ingenerare negli operatori la sensazione di essere parte attiva della soluzione e non del problema.
UN PROCESSO EVOLUTIVO
Il cambiamento è una delle poche costanti del mondo. Ecco perché la resilienza e la capacità di adattamento spostano la prospettiva della gestione del rischio intesa come mera disaster recover y ad una gerarchia diversa, composta da parole ed azioni come anticipare, impedire, prevenire, proteggere, mitigare, rispondere e ricostruire. Questo implica una continua ed accurata situational awareness, con un particolare focus sul monitoraggio degli indicatori di cambiamento prima che l’evento si manifesti. Ma significa anche sviluppare strategie di gestione del rischio che permettano all’azienda di adattarsi preventivamente, quindi di essere preparata ad attutire i colpi, ad imparare dalle esperienze proprie ed altrui e ad evolvere in un’organizzazione sempre più forte. Essere resiliente non significa naturalmente che una realtà aziendale non possa mai subire le conseguenze di un evento avverso: significa però che possa essere meglio preparata per identificare, comprendere ed adattarsi al cambiamento richiesto. Perché la resilienza è un processo evolutivo. Riconoscere nuove possibilità ed opportunità non significa operare cambiamenti bruschi ed impulsivi: al contrario significa approcciare il problema con quell’equilibrio e quella misura che solo un’informazione accurata può offrire. In conclusione, la resilienza organizzativa deve saper guardare oltre l’analisi del rischio.
Costruire resilienza significa quindi vedere l’inevitabilità di alcuni rischi ma creare il potenziale per aver comunque dei risultati positivi.
Chi lavora in un’organizzazione resiliente deve chiedersi sempre quali cambiamenti può fare per rafforzare lui stesso l’azienda.
Perché resilienza significa anche conoscere esattamente dove ci si trova per sapere poi quale direzione prendere, quindi significa comprendere le proprie debolezze e le minacce cui si è soggetti per poi costruire nuovi punti di forza e nuove opportunità.
Dai commenti di Marc Siegel pare avere la conferma che creare organizzazioni senza “silos” ed in grado di mettere tutti i soggetti interessati alla gestione dei rischi in contatto fra di loro sia la mossa vincente. “You’re right” - conferma Siegel. Alla prossima puntata con nuovi guru e opinionisti!
“Organizational resilience” è un’espressione talmente abusata da essersi ormai svuotata di contenuti. Dai programmi governativi agli enti di standardizzazione, fino al settore privato: resilienza organizzativa è la parola più in voga per promuovere progetti o ser vizi. Ironia del destino, in questo straparlare di organizational resilience si è perso uno dei fattori chiave per costruire la vera resilienza aziendale. Proprio quando infatti le aziende cominciano a realizzare che un approccio integrato, proattivo e multidisciplinare alla gestione dei rischi può generare efficienze, chi si occupa di specifiche discipline afferenti al rischio reclama la paternità di tale espressione per promuovere i propri ser vizi. Ebbene, è ora di uscire dal solito blablabla e di concentrarsi sulla costruzione di un’organizzazione che sia coesiva e resiliente. Questo significa focalizzarsi sui principi fondamentali di un buon sistema integrato di gestione aziendale e del rischio.
NIENTE APPROCCIO STANDARD
Qualunque attività è soggetta ad una serie di rischi ed incertezze. L’incertezza è uno stato le cui conseguenze sono ignote, indeterminate o indefinite, o laddove vi sia una carenza di informazione. Le conseguenze possono insomma essere sia positive che negative. Soggetti singoli, strutture aziendali e comunità devono decidere quale livello di rischio e incertezza intendono accettare e prendersi in carico per raggiungere i propri scopi ed obiettivi. Tali scopi possono includere obiettivi strategici a lungo o breve termine, obiettivi legati all’intera o a una sola parte dell’organizzazione e della sua catena del valore, ma anche questioni tattiche o operative a tutti i livelli aziendali. La gestione di tali rischi, pertanto, dipende dagli obiettivi della struttura, dalla sua voglia di rischiare o di cogliere un’opportunità o di minimizzare una possibile conseguenza negativa. E’ quindi di tutta evidenza che non possa esistere formula univoca o approccio standardizzato in materia.
STOP AI SILOS
La resilienza diventa importante da integrare nel processo di gestione del rischio perché promuove e al contempo richiede una logica di estrema adattabilità e snellezza organizzativa. La resilienza enfatizza infatti la gestione del rischio, sia nella sua multi-dimensionalità che nella sua durata temporale. La resilienza si basa sul principio che la gestione del rischio debba accrescere la capacità di adattamento in un ecosistema in costante cambiamento. Pertanto, la resilienza valuta in che modo integrare pienamente una gestione del rischio olistica e proattiva all’interno di buone pratiche di gestione aziendale, particolarmente nei processi decisionali a lungo e breve termine. Non si tratta solo di far convergere varie discipline afferenti al rischio, ma di farlo nel contesto degli obiettivi strategici, operativi e tattici dell’organizzazione d’impresa. La resilienza enfatizza il fatto che le organizzazioni diano per assunto di operare costantemente in un contesto dinamico e incerto. La resilienza esige sia di far convergere le discipline afferenti al rischio, sia di eliminare i “silos” organizzativi, e quindi di raggiungere un piano coordinato di gestione del rischio per l’intera attività d’impresa.
UN’OPPORTUNITÀ DI BUSINESS
La resilienza non è qualcosa di nativo, di insito nell’organizzazione: la capacità di adattamento si sviluppa infatti con la maturazione dell’organizzazione stessa, si apprende da successi e insuccessi, cresce assieme alle capacità di prendere decisioni e alla conoscenza e all’approfondimento dei fattori, interni ed esterni, che possono influire sulle performance aziendali. La resilienza nasce anche da relazioni di contorno, prospettive culturali e in genere dalla capacità dei singoli di affrontare stress e avversità. Pertanto, la resilienza è in funzione di una varietà di comportamenti, pensieri e azioni che possono essere appresi e sviluppati in qualunque momento. All’interno delle organizzazioni aziendali, la resilienza somiglia alla resilienza umana nel fatto di non rappresentare tanto una caratteristica, quanto piuttosto una prospettiva del vivere in costanza di rischio: le organizzazioni resilienti integrano infatti la gestione del rischio in tutti i loro processi decisionali. Dare per assunto che rischi ed incertezze esistano in ogni circostanza significa che i decisori possano adeguarsi alle negatività, attutire i colpi e rimettersi in sesto ma al contempo identificare e cogliere delle opportunità di business. Le strutture che coltivano una cultura di problem-solving accresceranno questa loro resilienza (abilità che si sviluppa maggiormente allorquando si riconosce che fronteggiare un’avversità non significa necessariamente o soltanto fare un passo indietro, bensì rappresenta una possibilità di conoscenza e quindi di adattabilità). La resilienza promuove un processo di gestione degli eventi avversi, di conoscenza e di perseveranza utilizzando un approccio sistemico. Gestire un’azienda e i rischi cui essa è esposta non significa solo disporre di tutti gli elementi per una buona gestione, ma anche comprendere le molte relazioni che insistono tra tutti questi elementi. I problemi vanno infatti affrontati pensando anche agli scenari che si potrebbero profilare in futuro, anche in considerazione della direzione che l’azienda vuole prendere. E’ quindi un processo proattivo e preventivo/predittivo, che mette in luce il fatto che adattarsi a livello organizzativo prima che un evento si manifesti può generare nuove efficienze. Pianificare una gestione del rischio in maniera integrata rispetto a tutti gli aspetti della gestione aziendale è del resto diverso dal semplice reagire ad eventi che si dovessero presentare. Tuttavia, le strategie di business e risk management riconoscono che non tutti i fattori di incertezza, e soprattutto i loro possibili risultati, possano essere identificati o quantificati, perciò le criticità degli assett, delle attività e dei ser vizi sono determinate per delle operazioni sostenibili. “Recuperare” (la famosa recovery) non significa solo rientrare alla normalità, ma considerare il nuovo contesto derivante dal diverso ambiente operativo e (ri)determinare i punti dove la struttura è meglio posizionata. Essere un’organizzazione resiliente significa saper sfruttare in maniera efficiente tutte le sue risorse: umane, tangibili e intangibili. E poiché qualsiasi realtà dispone di risorse limitate, comprendere il risk management nel contesto di queste limitazioni permette all’azienda di individuare prima i propri punti di forza e di fare meglio leva sugli stessi. L’approccio al “problem solving” deve poi considerare le dipendenze e le interdipendenze aziendali: le organizzazioni resilienti sviluppano una rete forte di relazioni con gli stakeholder, le altre realtà aziendali e la comunità. Attraverso queste relazioni l’azienda è in grado di individuare la propria collocazione in un quadro più ampio, può imparare osservando e condividendo informazioni e sa dove cercare quando ser ve aiuto. Le organizzazioni resilienti hanno tante risorse, e sanno bene che le relazioni con gli stakeholder sono quelle di gran lunga più importanti. Un’organizzazione resiliente deve quindi saper incoraggiare e motivare gli stakeholder a lavorare per il bene comune. Promuovere le abilità comunicative e le consultazioni è quindi essenziale per accrescere la resilienza perché il rischio è meglio gestito con continue consultazioni e comunicazioni bidirezionali con gli stakeholder. Un’organizzazione resiliente crea quindi meccanismi tali da supportare sia un flusso di informazioni top-down che bottom-up: abilitare tutti, a tutti i livelli organizzativi, ad essere ascoltati rafforza il senso di inclusione che porta poi alla condivisione di pensieri e di idee. Ciò alimenta la diffusione di quella cultura del rischio per la quale sia chi lo può generare, sia chi lo corre comprende di essere egli stesso portatore e manager del rischio stesso. Un migliore flusso di informazioni basato sul senso di inclusione a sua volta promuove un’assunzione di decisioni più informata. Sostenendo che l’innovazione continua, la creatività e l’acquisizione di informazioni e competenze sono valori “core” per l’azienda, le persone che in essa lavorano avranno un approccio proattivo alle problematiche, contribuendo esse stesse ad incrementare la capacità di adattamento dell’organizzazione. Nel contempo si costruirà un senso di governo della situazione capace di ingenerare negli operatori la sensazione di essere parte attiva della soluzione e non del problema.
UN PROCESSO EVOLUTIVO
Il cambiamento è una delle poche costanti del mondo. Ecco perché la resilienza e la capacità di adattamento spostano la prospettiva della gestione del rischio intesa come mera disaster recover y ad una gerarchia diversa, composta da parole ed azioni come anticipare, impedire, prevenire, proteggere, mitigare, rispondere e ricostruire. Questo implica una continua ed accurata situational awareness, con un particolare focus sul monitoraggio degli indicatori di cambiamento prima che l’evento si manifesti. Ma significa anche sviluppare strategie di gestione del rischio che permettano all’azienda di adattarsi preventivamente, quindi di essere preparata ad attutire i colpi, ad imparare dalle esperienze proprie ed altrui e ad evolvere in un’organizzazione sempre più forte. Essere resiliente non significa naturalmente che una realtà aziendale non possa mai subire le conseguenze di un evento avverso: significa però che possa essere meglio preparata per identificare, comprendere ed adattarsi al cambiamento richiesto. Perché la resilienza è un processo evolutivo. Riconoscere nuove possibilità ed opportunità non significa operare cambiamenti bruschi ed impulsivi: al contrario significa approcciare il problema con quell’equilibrio e quella misura che solo un’informazione accurata può offrire. In conclusione, la resilienza organizzativa deve saper guardare oltre l’analisi del rischio.
Costruire resilienza significa quindi vedere l’inevitabilità di alcuni rischi ma creare il potenziale per aver comunque dei risultati positivi.
Chi lavora in un’organizzazione resiliente deve chiedersi sempre quali cambiamenti può fare per rafforzare lui stesso l’azienda.
Perché resilienza significa anche conoscere esattamente dove ci si trova per sapere poi quale direzione prendere, quindi significa comprendere le proprie debolezze e le minacce cui si è soggetti per poi costruire nuovi punti di forza e nuove opportunità.
Dai commenti di Marc Siegel pare avere la conferma che creare organizzazioni senza “silos” ed in grado di mettere tutti i soggetti interessati alla gestione dei rischi in contatto fra di loro sia la mossa vincente. “You’re right” - conferma Siegel. Alla prossima puntata con nuovi guru e opinionisti!
La Resilienza delle organizzazioni - puntata # 3
ASItaly n° 33-Giugno 2015
L’ANSI/ASIS SPC.4-2012 propone sei fasi da completarsi in sequenza, suggerendo di verificare il corretto passaggio per gradi da una fase all’altra. Vediamo brevemente come si susseguono le sei fasi proposte. Lafase uno corrisponde ad uno stato di pre-consapevolezza, in cui l’organizzazione si trova prima di valutare come intraprendere il cammino graduale. Nella fase due, con approccio al Progetto, l’organizzazione inizia ad avere consapevolezza ed il management comincia a definire gli obiettivi. Oltre agli obiettivi, nella fase due verranno definiti i ruoli, le responsabilità, il budget, il metodo di misurazione dei progressi. Già in questa fase è essenziale che il top management fornisca il pieno supporto al Project Leader individuando, dove necessario, il training e l’expertise necessari per sostenere il progetto. Nella fase tre, con approccio alProgramma, l’attenzione si concentra su aspetti specifici in grado di creare le condizioni di successo e di aumentata consapevolezza. Questa fase fornisce al Program Manager l’opportunità di estendere il progettocoinvolgendo un numero maggiore di soggetti. Allo stesso tempo i vari soggetti contribuiscono all’individuazione di potenziali rischi che potrebbero ridurre la Resilienza Organizzativa e le relative probabilità che ciò avvenga. La fase quattro, con approccio al Sistema, vede l’inizio della messa insieme dei vari pezzi. Il top management è attivamente coinvolto nell’impostazione del management system. I diversi attori coinvolti iniziano a testare le principali parti dello standard e le evidenze emerse nel corso degli audit vengono utilizzati per rinforzare i punti deboli del processo. La fase cinque, con approccio al Management System, coincide con la completa adozione di un sistema di gestione. Gradualmente viene introdotta una cultura di resilienza organizzativa.
I programmi di formazione e di awareness diventano argomenti di routine per le risorse umane. Nella fase sei , approccio al Management Olistico, si va oltre la compliance e allo standard, raggiungendo un livello totalmente integrato di management della Resilienza Organizzativa. La gestione della Resilienza e i principi di Management System si estendono a tutte le aree di business e a tutte le attività aziendali. A questo punto, in sei mosse, un’organizzazione di tipo “giovane” può raggiungere uno stato di ”maturità” attraverso un percorso in grado di far realisticamente raggiungere il risultato desiderato. Lo standard indica questi passaggi come fosse un percorso simbolicamente sportivo: Fase uno, di pre-consapevolezza; Fase due, del Bronzo; Fase tre, dell’Argento; Fase quattro, dell’Oro; Fase cinque, del Platino; Fase sei, del Diamante. Abbiamo visto come uno standard disegnato per raggiungere un alto livello di Resilienza Organizzativa possa essere adottato in modo progressivo tramite un altro standard attuativo. I due standard ANSI/ASIS che abbiamo commentato sono infatti complementari e devono essere visti come un tutt’uno: il primo indica cosa fare, mentre il secondo propone come fare ciò che il primo indica necessario per raggiungere un adeguato livello di Resilienza Organizzativa (R.O.). Fin qui abbiamo parlato della vision Nord Americana circa la R.O., che si è sviluppata fra il 2009 e il 2012. Vediamo adesso cosa è avvenuto in Europa e più precisamente in Gran Bretagna, con la pubblicazione a novembre dell’anno passato del BS 65000:2014 da parte del British Standard Institute.
Si deve dare atto che nelle 23 righe dell’introduzione di questo BS viene immediatamente dichiarata la finalità che si prefigge, anticipando che: la Resilienza Organizzativa è un obiettivo strategico per aiutare le organizzazioni a sopravvivere e a prosperare; un’organizzazione resiliente è in grado di adattarsi meglio, essere più competitiva, snella e robusta di quanto lo siano quelle meno resilienti; la Resilienza Organizzativa è la base per garantire la capacità di un’organizzazione di anticipare, prepararsi per rispondere e adattarsi a qualsiasi condizione, dagli eventi quotidiani ai cambiamenti più intensi, sia temporanei che permanenti; la Resilienza è un concetto relativo e dinamico e come tale un’organizzazione può solo essere più o meno resiliente. Come risultato da raggiungere, la Resilienza è un obiettivo e non un’attività permanente o una condizione di stato. Un’organizzazione opera già in una potenziale e complessa rete di interazioni con altre organizzazioni, per cui è essenziale che la Resilienza non venga “costruita” solo all’interno di un’organizzazione ma che sia estesa anche a tutta la rete e sia presente nelle interazioni con le altre organizzazioni. Sono ancora più succinti i tre punti che descrivono lo scopo della BS 65000:2014: 1) rendere chiaro al Top Management la natura e lo scopo della Resilienza Organizzativa; 2) identificare i principali componenti della Resilienza Organizzativa per rendere possibile ad un’organizzazione di rivedere la propria resilienza nell’adottare e misurare i propri miglioramenti; 3) identificare e raccomandare buone pratiche già definite in altri standard esistenti e in alcune discipline. Tutto ciò viene rafforzato ulteriormente nella parte che parla dei principi che caratterizzano la Resilienza Organizzativa, aggiungendo che essa ha che fare con “disruption”, “uncertainty and change” con un chiaro proposito, con una precisa coerenza e con un riferimento alle opportune risorse necessarie. Prosegue poi elencando i benefici che derivano dall’avere un’organizzazione resiliente, mettendo in evidenza: la competitività, la coerenza, l’efficienza e l’efficacia, la reputazione e la resilienza dell’intera società civile.
A questi benefici abbina la necessità di considerare un certo numero di opportunità e di punti di domanda, fra i quali: a) comprendere quando il management deve entrare in azione; b) trovare il giusto compromesso fra costi e livello di resilienza; c) determinare un appropriato trade-off fra il controllo dei costi e il raggiungimento di un più alto livello di resilienza; d) identificare quando adottare nuovi valori piuttosto che continuare con i comportamenti esistenti; e) risolvere i conflitti fra la necessità di mantenere riservate le informazioni fra competitor e la necessità di condividere informazioni per la resilienza quando si è in collaborazione con altri; f) identificare le limitazioni di tipo legale e normativo, così come per i codici volontari di comportamento adottati dai diversi settori, che possono limitare specifiche azioni a supporto della resilienza; g) concludendo che ciascuna organizzazione deve prendere le proprie decisioni riguardo questi punti in base alle tipologie di rischi e del loro relativo livello che si intenda raggiungere, oltre a decidere in base alla dichiarata volontà di quanto si voglia investire in resilienza. Una particolare attenzione viene posta nel descrivere i requisiti fondamentali richiesti per costruire una organizzazione resiliente. Fra questi emergono: aspetti generali relativi alle attitudini dell’organizzazione; Governance e Accountability, intesa quest’ultima come attitudine del management di farsi carico dei risultati (positivi o negativi); Leadership e Cultura, intesa come diffusione delle due dimensioni; visione comune e progettuale. Un punto importante è rappresentato da come la BS 65000:2014 inquadra le condizioni necessarie per costruire un’organizzazione resiliente: la Resilienza Organizzativa richiede l’abilità di prendere valide decisioni basate sulla comprensione di dove l’organizzazione sia posizionata, dove intende arrivare, il contesto in cui agisce, quale sia l’interesse dell’organizzazione e quali siano le risorse disponibili.
MAPPATURA DELLE FASI E MISURAZIONE DELLA RESILIENZA
Rimangono due aspetti da valutare per completare l’analisi della BS 65000. La prima è la mappatura delle sei fasi che ruotano intorno al nucleo centrale rappresentato da Governance e Accontability, Leadership e Cultura, Visione comune e progettuale. Tutto deve ruotare intorno ad un fulcro ben determinato. A conferma che la Resilienza Organizzativa richiede un approccio multi-culturale e multi-disciplinare, la BS 65000:2014 richiama oltre venti discipline che devono essere attivate con modalità coerenti. Fra queste richiama: asset management, risk management, reputation management, environment management, health&safety, fraud control, business continuity, ICT security, cyber security, change management, physical security, facility management, emergency management, crisis management, supply management, human resources management, financial control e quality management. Il secondo aspetto riguarda le modalità per misurare la maturità e la resilienza di un’organizzazione che la BS 6500:2014 individua nei seguenti sei punti, che devono essere decisi dall’organizzazione: 1) cosa è necessario monitorare e misurare; 2) il metodo di monitoraggio, misurazione, analisi e valutazione per assicurare risultati validi; 3) come effettuare un assessment costante della resilienza; 4) individuare il limite entro il quale l’output delle misurazioni possa essere considerato accettabile; 5) con quali modalità le misurazioni e il monitoraggio potranno lavorare insieme a ciò che è già in essere per i processi già esistenti; 6) come devono essere analizzati e valutati i monitoraggi e le misurazioni dei risultati. Per quanto riguarda la classificazione del livello di maturità raggiunta da un’organizzazione, la BS 65000:2014, a differenza della ANSI/ASIS SPC.4-2012, non propone una classifica sportiva bensì un ranking di performance stabilendo che il livello 0 corrisponde ad un’organizzazione Immatura (Immature); il livello 1 ad un’organizzazione di Base (Basic); il livello 2 a quello di Gestita (Managed); il livello 4 a quello di Affermata (Established); il livello 5 a quello di Lanciata (Predictable); il livello 6 a quello di Ottimale (Optimazing). Pur non entrando in dettaglio su come arrivare ad ottenere i risultati attesi e con quali modalità poter procedere per step successivi, come invece fanno le due ANSI/ASIS SPC.1-2009 e SPC.4 2012, la BS 65000:2014 propone una serie di 24 domande divise in sei gruppi che corrispondono a ciascun settore della fi gura prima riportata, le cui risposte corrispondono ai punti rilevanti che vengono trattati nello standard. Non quindi una guida ma una sorta di “lista della spesa”, con le indicazioni su come trovare le risposte alle 24 domande. Si potrebbe quindi dire che i tre standard finora commentati (ANSI/ASIS SPC.1-2009, ANSI/ASIS SPC.4-2012 e BS 65000:2014) si integrano perfettamente, senza particolari conflitti fra di loro, aggiungendo che per ottenere un’organizzazione allineata con i più attuali criteri di Resilienza Organizzativa è forse necessario attingere dai tre standard indicati. Questa fra l’altro è una conclusione a cui sono arrivati, oltre a me, anche i guru Nord Americani ed Europei della Resilienza Organizzativa, di cui vorrei accennare nelle prossime puntate. Per il momento ci salutiamo qui; alla prossima puntata.
L’ANSI/ASIS SPC.4-2012 propone sei fasi da completarsi in sequenza, suggerendo di verificare il corretto passaggio per gradi da una fase all’altra. Vediamo brevemente come si susseguono le sei fasi proposte. Lafase uno corrisponde ad uno stato di pre-consapevolezza, in cui l’organizzazione si trova prima di valutare come intraprendere il cammino graduale. Nella fase due, con approccio al Progetto, l’organizzazione inizia ad avere consapevolezza ed il management comincia a definire gli obiettivi. Oltre agli obiettivi, nella fase due verranno definiti i ruoli, le responsabilità, il budget, il metodo di misurazione dei progressi. Già in questa fase è essenziale che il top management fornisca il pieno supporto al Project Leader individuando, dove necessario, il training e l’expertise necessari per sostenere il progetto. Nella fase tre, con approccio alProgramma, l’attenzione si concentra su aspetti specifici in grado di creare le condizioni di successo e di aumentata consapevolezza. Questa fase fornisce al Program Manager l’opportunità di estendere il progettocoinvolgendo un numero maggiore di soggetti. Allo stesso tempo i vari soggetti contribuiscono all’individuazione di potenziali rischi che potrebbero ridurre la Resilienza Organizzativa e le relative probabilità che ciò avvenga. La fase quattro, con approccio al Sistema, vede l’inizio della messa insieme dei vari pezzi. Il top management è attivamente coinvolto nell’impostazione del management system. I diversi attori coinvolti iniziano a testare le principali parti dello standard e le evidenze emerse nel corso degli audit vengono utilizzati per rinforzare i punti deboli del processo. La fase cinque, con approccio al Management System, coincide con la completa adozione di un sistema di gestione. Gradualmente viene introdotta una cultura di resilienza organizzativa.
I programmi di formazione e di awareness diventano argomenti di routine per le risorse umane. Nella fase sei , approccio al Management Olistico, si va oltre la compliance e allo standard, raggiungendo un livello totalmente integrato di management della Resilienza Organizzativa. La gestione della Resilienza e i principi di Management System si estendono a tutte le aree di business e a tutte le attività aziendali. A questo punto, in sei mosse, un’organizzazione di tipo “giovane” può raggiungere uno stato di ”maturità” attraverso un percorso in grado di far realisticamente raggiungere il risultato desiderato. Lo standard indica questi passaggi come fosse un percorso simbolicamente sportivo: Fase uno, di pre-consapevolezza; Fase due, del Bronzo; Fase tre, dell’Argento; Fase quattro, dell’Oro; Fase cinque, del Platino; Fase sei, del Diamante. Abbiamo visto come uno standard disegnato per raggiungere un alto livello di Resilienza Organizzativa possa essere adottato in modo progressivo tramite un altro standard attuativo. I due standard ANSI/ASIS che abbiamo commentato sono infatti complementari e devono essere visti come un tutt’uno: il primo indica cosa fare, mentre il secondo propone come fare ciò che il primo indica necessario per raggiungere un adeguato livello di Resilienza Organizzativa (R.O.). Fin qui abbiamo parlato della vision Nord Americana circa la R.O., che si è sviluppata fra il 2009 e il 2012. Vediamo adesso cosa è avvenuto in Europa e più precisamente in Gran Bretagna, con la pubblicazione a novembre dell’anno passato del BS 65000:2014 da parte del British Standard Institute.
Si deve dare atto che nelle 23 righe dell’introduzione di questo BS viene immediatamente dichiarata la finalità che si prefigge, anticipando che: la Resilienza Organizzativa è un obiettivo strategico per aiutare le organizzazioni a sopravvivere e a prosperare; un’organizzazione resiliente è in grado di adattarsi meglio, essere più competitiva, snella e robusta di quanto lo siano quelle meno resilienti; la Resilienza Organizzativa è la base per garantire la capacità di un’organizzazione di anticipare, prepararsi per rispondere e adattarsi a qualsiasi condizione, dagli eventi quotidiani ai cambiamenti più intensi, sia temporanei che permanenti; la Resilienza è un concetto relativo e dinamico e come tale un’organizzazione può solo essere più o meno resiliente. Come risultato da raggiungere, la Resilienza è un obiettivo e non un’attività permanente o una condizione di stato. Un’organizzazione opera già in una potenziale e complessa rete di interazioni con altre organizzazioni, per cui è essenziale che la Resilienza non venga “costruita” solo all’interno di un’organizzazione ma che sia estesa anche a tutta la rete e sia presente nelle interazioni con le altre organizzazioni. Sono ancora più succinti i tre punti che descrivono lo scopo della BS 65000:2014: 1) rendere chiaro al Top Management la natura e lo scopo della Resilienza Organizzativa; 2) identificare i principali componenti della Resilienza Organizzativa per rendere possibile ad un’organizzazione di rivedere la propria resilienza nell’adottare e misurare i propri miglioramenti; 3) identificare e raccomandare buone pratiche già definite in altri standard esistenti e in alcune discipline. Tutto ciò viene rafforzato ulteriormente nella parte che parla dei principi che caratterizzano la Resilienza Organizzativa, aggiungendo che essa ha che fare con “disruption”, “uncertainty and change” con un chiaro proposito, con una precisa coerenza e con un riferimento alle opportune risorse necessarie. Prosegue poi elencando i benefici che derivano dall’avere un’organizzazione resiliente, mettendo in evidenza: la competitività, la coerenza, l’efficienza e l’efficacia, la reputazione e la resilienza dell’intera società civile.
A questi benefici abbina la necessità di considerare un certo numero di opportunità e di punti di domanda, fra i quali: a) comprendere quando il management deve entrare in azione; b) trovare il giusto compromesso fra costi e livello di resilienza; c) determinare un appropriato trade-off fra il controllo dei costi e il raggiungimento di un più alto livello di resilienza; d) identificare quando adottare nuovi valori piuttosto che continuare con i comportamenti esistenti; e) risolvere i conflitti fra la necessità di mantenere riservate le informazioni fra competitor e la necessità di condividere informazioni per la resilienza quando si è in collaborazione con altri; f) identificare le limitazioni di tipo legale e normativo, così come per i codici volontari di comportamento adottati dai diversi settori, che possono limitare specifiche azioni a supporto della resilienza; g) concludendo che ciascuna organizzazione deve prendere le proprie decisioni riguardo questi punti in base alle tipologie di rischi e del loro relativo livello che si intenda raggiungere, oltre a decidere in base alla dichiarata volontà di quanto si voglia investire in resilienza. Una particolare attenzione viene posta nel descrivere i requisiti fondamentali richiesti per costruire una organizzazione resiliente. Fra questi emergono: aspetti generali relativi alle attitudini dell’organizzazione; Governance e Accountability, intesa quest’ultima come attitudine del management di farsi carico dei risultati (positivi o negativi); Leadership e Cultura, intesa come diffusione delle due dimensioni; visione comune e progettuale. Un punto importante è rappresentato da come la BS 65000:2014 inquadra le condizioni necessarie per costruire un’organizzazione resiliente: la Resilienza Organizzativa richiede l’abilità di prendere valide decisioni basate sulla comprensione di dove l’organizzazione sia posizionata, dove intende arrivare, il contesto in cui agisce, quale sia l’interesse dell’organizzazione e quali siano le risorse disponibili.
MAPPATURA DELLE FASI E MISURAZIONE DELLA RESILIENZA
Rimangono due aspetti da valutare per completare l’analisi della BS 65000. La prima è la mappatura delle sei fasi che ruotano intorno al nucleo centrale rappresentato da Governance e Accontability, Leadership e Cultura, Visione comune e progettuale. Tutto deve ruotare intorno ad un fulcro ben determinato. A conferma che la Resilienza Organizzativa richiede un approccio multi-culturale e multi-disciplinare, la BS 65000:2014 richiama oltre venti discipline che devono essere attivate con modalità coerenti. Fra queste richiama: asset management, risk management, reputation management, environment management, health&safety, fraud control, business continuity, ICT security, cyber security, change management, physical security, facility management, emergency management, crisis management, supply management, human resources management, financial control e quality management. Il secondo aspetto riguarda le modalità per misurare la maturità e la resilienza di un’organizzazione che la BS 6500:2014 individua nei seguenti sei punti, che devono essere decisi dall’organizzazione: 1) cosa è necessario monitorare e misurare; 2) il metodo di monitoraggio, misurazione, analisi e valutazione per assicurare risultati validi; 3) come effettuare un assessment costante della resilienza; 4) individuare il limite entro il quale l’output delle misurazioni possa essere considerato accettabile; 5) con quali modalità le misurazioni e il monitoraggio potranno lavorare insieme a ciò che è già in essere per i processi già esistenti; 6) come devono essere analizzati e valutati i monitoraggi e le misurazioni dei risultati. Per quanto riguarda la classificazione del livello di maturità raggiunta da un’organizzazione, la BS 65000:2014, a differenza della ANSI/ASIS SPC.4-2012, non propone una classifica sportiva bensì un ranking di performance stabilendo che il livello 0 corrisponde ad un’organizzazione Immatura (Immature); il livello 1 ad un’organizzazione di Base (Basic); il livello 2 a quello di Gestita (Managed); il livello 4 a quello di Affermata (Established); il livello 5 a quello di Lanciata (Predictable); il livello 6 a quello di Ottimale (Optimazing). Pur non entrando in dettaglio su come arrivare ad ottenere i risultati attesi e con quali modalità poter procedere per step successivi, come invece fanno le due ANSI/ASIS SPC.1-2009 e SPC.4 2012, la BS 65000:2014 propone una serie di 24 domande divise in sei gruppi che corrispondono a ciascun settore della fi gura prima riportata, le cui risposte corrispondono ai punti rilevanti che vengono trattati nello standard. Non quindi una guida ma una sorta di “lista della spesa”, con le indicazioni su come trovare le risposte alle 24 domande. Si potrebbe quindi dire che i tre standard finora commentati (ANSI/ASIS SPC.1-2009, ANSI/ASIS SPC.4-2012 e BS 65000:2014) si integrano perfettamente, senza particolari conflitti fra di loro, aggiungendo che per ottenere un’organizzazione allineata con i più attuali criteri di Resilienza Organizzativa è forse necessario attingere dai tre standard indicati. Questa fra l’altro è una conclusione a cui sono arrivati, oltre a me, anche i guru Nord Americani ed Europei della Resilienza Organizzativa, di cui vorrei accennare nelle prossime puntate. Per il momento ci salutiamo qui; alla prossima puntata.
La Resilienza delle organizzazioni - puntata # 2
SItaly n° 32-Aprile 2015
Da oltre cinque anni in Nord America è stato adottato uno standard che ha come obiettivo proprio questo aspetto. Con il titolo Organizational Resilience: Security, Preparedness, and Continuity Management Systems – Requirement with Guidance for Use, l’American National Standards Institute (ANSI) ha rilasciato l’ANSI/ASIS SPC.1- 2009, uno standard per fettamente allineato con ISO 9001:2000, ISO 14001:2004, ISO/IEC 27001:2005, ISO 28000:2007 e ISO31000, ovviamente. Dal 2010 il Depar tment of Homeland Security Americano (DHS) l’ha adottata come Voluntary Standard in materia di Resilienza Organizzativa. Di recente, a fine novembre 2014, anche il British Standard Institute (BSI) ha rilasciato un nuovo standard, il BS 65000:2014, che rappresenta il primo vero riferimento alla Resilienza Organizzativa rilasciato in Europa. Anch’esso fa riferimento all’ISO 31000 e all’ISO Guide 73:2009, oltre a molti altri British Standard. Questo fa capire come stia crescendo l’attenzione sull’argomento, cosa confermata anche dai lavori messi in cantiere da ISO con il gruppo TC 223.(1) Come si può ben capire, da questa caleidoscopica visione di standard e norme volontarie, la Resilienza Organizzativa gode di un’ampia letteratura per quanto riguarda le soluzioni organizzative che possono essere adottate per raggiungerla. Fin quando uno standard e le relative certificazioni cui fanno capo rimarranno volontarie, e così variegate, si potrà correre il rischio di seguire percorsi diversi per raggiungere risultati che dovrebbero essere comunque coincidenti. Un aspetto, in effetti, accumuna tutto quanto sia stato rilasciato fi nora in materia di standard riferibili alla Resilienza Organizzativa: riguarda la convinzione comune che sia richiesto un approccio multi disciplinare e multi funzionale. In particolare si può dire che, guardata da tutti i punti di vista possibili, la resilienza viene considerata non come il risultato di una singola disciplina, bensì come una mescolanza di approcci nel guardare ai rischi che possono ridurre la possibilità di raggiungere gli obiettivi che l’organizzazione si è prefi ssa. In attesa di avere, in un futuro non lontano (qualcuno indica entro il 2017 e noi ce lo auguriamo), un unico standard internazionale di riferimento in materia di Resilienza Organizzativa, ci dobbiamo convincere che il principale sforzo che il top management può fare è quello di far dialogare fra di loro le varie funzioni interne, rimuovendo i separatori che dividono le esperienze e le competenze dei vari settori che compongono l’organizzazione. I c.d. “contenitori” verticali (silos) che tanto danneggiano le organizzazioni perché impediscono che si possa allargare la base di conoscenza dei possibili rischi e delle migliori modalità per poterli mitigare. Quindi quelle organizzazioni che hanno a cuore la loro crescita con una costante attenzione alla riduzione dei rischi, fanno bene a responsabilizzare tutti coloro che devono condividere un obiettivo comune: come sostenere la resilienza dell’organizzazione.
ANSI/ASIS.SPC.1-2009
Senza voler privilegiare uno piuttosto che un altro degli standard, considerando che l’ANSI/ASIS.SPC.1-2009 ha cominciato per primo a parlare in modo specifico di Resilienza Organizzativa, propongo di partire da questo per analizzare i legami che esistono con la ISO 31000. Un’analisi condotta in termini di capacità delle organizzazioni di adeguarsi al cambiamento del contesto di riferimento. Nella prossima puntata faremo poi lo stesso con la BS 65000:2014. La ISO 31000 è considerata la principale innovazione nel mondo del Risk Management. Defi nendo i principi, il quadro di riferimento e il processo del Risk Management, la ISO 31000 sposta la visione da un singolo episodio avverso la più ampia incer tezza di poter raggiungere nel tempo gli obiettivi che l’organizzazione intende porsi. Quindi il rischio non più visto come singolo episodio su cui concentrarsi ma come percorso per garantire il raggiungimento degli obiettivi, attraverso la gestione dei rischi. Questo vuol dire un’organizzazione meno reattiva ma più proattiva, capace di attivare un processo che vede tutti i possessori di rischi, di una stessa organizzazione, diventare dei Risk Manager. Questo concetto di corresponsabilità nell’identifi cazione dei rischi è stata fatta più volte nel corso di questa e della precedente puntata. Sarà forse il caso di approfondire questo aspetto per non correre il rischio, tanto per rimanere in materia, che possa apparire un modo di dire senza che dietro ci siano solide basi suppor tate da una lungimiranza manageriale. Prendiamo per esempio l’individuazione dei rischi, delle vulnerabilità, delle minacce, delle probabilità, delle criticità, che sono gli elementi che devono essere analizzati per effettuare un’effi cace Risk Analysis da cui deriveranno decisioni su come trattare i rischi a cui l’organizzazione può trovarsi soggetta. E’ abbastanza intuitivo comprendere che un’attività congiunta da par te di tutti coloro che si trovano nelle migliori condizioni per individuare e valutare un singolo rischio sarà in grado di dare il miglior contributo per ridurne gli effetti, attraverso la valutazione di tutto ciò che a quel rischio è riconducibile, comprese le modalità per mitigarlo. Se questo processo riesce a coinvolgere tutti coloro che sono a contatto con i rischi, in ogni istante, ne deriva che una condivisione del metodo e delle modalità di trattamento della gestione del rischio potrà garantire una maggiore capacità di individuare, in anticipo, le possibili condizioni avverse all’ottenimento degli obiettivi dell’organizzazione. Allargando questo concetto all’intera sfera del Risk Management e ribadendo l’impor tanza di adottare una modalità proattiva, anziché solo reattiva, si potrà meglio comprendere come questo sia un processo di tipo consultivo e collaborativo, che vede tutti gli attori “proprietari” di rischi essere pienamente coinvolti nella gestione del rischio stesso. Ecco perché coloro che adottano modelli organizzativi capaci di garantire una robusta Resilienza Organizzativa preferiscono modelli manageriali in grado di facilitare comunicazioni top-down, bottom-up e peer-to-peer, attivando un processo capace di coinvolgere il maggior numero possibile di soggetti appar tenenti all’organizzazione.
Lo standard ANSI/ASIS.SPC.1-2009 adotta in pieno questi principi, introdotti per la prima volta da ISO 31000. Lo fa mettendo in evidenza il fatto che, per essere resiliente, un’organizzazione deve avere la capacità di adattarsi, nel tempo, alle variazioni che intervengono nei contesti interni e esterni. Per essere in grado di cogliere il massimo delle opportunità e minimizzare le probabilità e le conseguenze di possibili vulnerabilità e minacce, un’organizzazione deve essere preparata e in grado di adattarsi ai cambiamenti che sono richiesti prima, durante e dopo ogni avversità. Inoltre, se l’evento dovesse provocare impatti negativi, dovrebbe tentare di prevenirlo o di imparare dall’evento come riallinearsi o addirittura reinventarsi totalmente, per meglio adattarsi al nuovo contesto. Ciò che è stato trattato fi nora potrà apparire ancor più chiaramente a chi avrà voglia di leggere l’intero ANSI/ASIS SPC.1-2009. Lo troverà esaustivo per affrontare e rispondere ad ogni tipo di evento distruttivo, sia intenzionale che non intenzionale o di tipo naturale.(2) Giunti a questo punto mi preme precisare che uno standard da solo, qualunque esso sia, non può garantire il risultato che lo stesso si prefi gge. Sono necessarie doti manageriali e capacità organizzative adeguate al risultato che si vuole raggiungere. Una volta ancora, quindi, la componente umana prevale su quella procedurale. Non è possibile, per nessuna organizzazione, riuscire ad ottenere dei risultati senza la capacità manageriale di chi la conduce. Questo vale anche per la Resilienza Organizzativa. Ciò che uno standard può aiutare a realizzare è quello di adottare un modello organizzativo già sperimentato e un management system collaudato. Tutto il resto dipende dalla componente umana, sia del management che dei soggetti attivi. Più avanti cercheremo anche di esplorare questi aspetti umani. Alla prossima puntata.
(1) In effetti nel corso degli ultimi anni ci sono stati altri tentativi per affrontare l’argomento, anche se in ambito molto specifi co. Per esempio la ISO 22301 che si occupa di Gestione della Continuità Operativa, così come l’Australian Standard AS/293-2006. Più di recente, nel gennaio 2014, UNI ha pubblicato, riferita alla resilienza delle infrastrutture critiche, la Prassi di Riferimento UNI/PdR 6:2014 che si riferisce anche alla ANSI/ASIS APC.1-2009.
(2) Solo per dare un’idea, già a pagina 2 dello standard è precisato: “questo Standard consente ad un’organizzazione di: a) sviluppare una policy di prevenzione, preparazione e risposta/continuità/recovery; b) stabilire gli obiettivi, procedure e processi per raggiungere gli impegni fi ssati per policy;c) assicurare competenza, consapevolezza e formazione (necessaria per); d) impostare parametri per misurare le prestazioni e dimostrare la validità delle scelte; e) adottare azioni necessarie per migliorare le prestazioni; f) dimostrare la conformità del sistema ai requisiti di questo standard; g) stabilire e applicare un processo per un costante miglioramento. L’allegato A alle pp- 18-40 , che di fatto è la Guida per l’utilizzo dello standard, copre maggiori dettagli: ne parleremo in un numero successivo.
Da oltre cinque anni in Nord America è stato adottato uno standard che ha come obiettivo proprio questo aspetto. Con il titolo Organizational Resilience: Security, Preparedness, and Continuity Management Systems – Requirement with Guidance for Use, l’American National Standards Institute (ANSI) ha rilasciato l’ANSI/ASIS SPC.1- 2009, uno standard per fettamente allineato con ISO 9001:2000, ISO 14001:2004, ISO/IEC 27001:2005, ISO 28000:2007 e ISO31000, ovviamente. Dal 2010 il Depar tment of Homeland Security Americano (DHS) l’ha adottata come Voluntary Standard in materia di Resilienza Organizzativa. Di recente, a fine novembre 2014, anche il British Standard Institute (BSI) ha rilasciato un nuovo standard, il BS 65000:2014, che rappresenta il primo vero riferimento alla Resilienza Organizzativa rilasciato in Europa. Anch’esso fa riferimento all’ISO 31000 e all’ISO Guide 73:2009, oltre a molti altri British Standard. Questo fa capire come stia crescendo l’attenzione sull’argomento, cosa confermata anche dai lavori messi in cantiere da ISO con il gruppo TC 223.(1) Come si può ben capire, da questa caleidoscopica visione di standard e norme volontarie, la Resilienza Organizzativa gode di un’ampia letteratura per quanto riguarda le soluzioni organizzative che possono essere adottate per raggiungerla. Fin quando uno standard e le relative certificazioni cui fanno capo rimarranno volontarie, e così variegate, si potrà correre il rischio di seguire percorsi diversi per raggiungere risultati che dovrebbero essere comunque coincidenti. Un aspetto, in effetti, accumuna tutto quanto sia stato rilasciato fi nora in materia di standard riferibili alla Resilienza Organizzativa: riguarda la convinzione comune che sia richiesto un approccio multi disciplinare e multi funzionale. In particolare si può dire che, guardata da tutti i punti di vista possibili, la resilienza viene considerata non come il risultato di una singola disciplina, bensì come una mescolanza di approcci nel guardare ai rischi che possono ridurre la possibilità di raggiungere gli obiettivi che l’organizzazione si è prefi ssa. In attesa di avere, in un futuro non lontano (qualcuno indica entro il 2017 e noi ce lo auguriamo), un unico standard internazionale di riferimento in materia di Resilienza Organizzativa, ci dobbiamo convincere che il principale sforzo che il top management può fare è quello di far dialogare fra di loro le varie funzioni interne, rimuovendo i separatori che dividono le esperienze e le competenze dei vari settori che compongono l’organizzazione. I c.d. “contenitori” verticali (silos) che tanto danneggiano le organizzazioni perché impediscono che si possa allargare la base di conoscenza dei possibili rischi e delle migliori modalità per poterli mitigare. Quindi quelle organizzazioni che hanno a cuore la loro crescita con una costante attenzione alla riduzione dei rischi, fanno bene a responsabilizzare tutti coloro che devono condividere un obiettivo comune: come sostenere la resilienza dell’organizzazione.
ANSI/ASIS.SPC.1-2009
Senza voler privilegiare uno piuttosto che un altro degli standard, considerando che l’ANSI/ASIS.SPC.1-2009 ha cominciato per primo a parlare in modo specifico di Resilienza Organizzativa, propongo di partire da questo per analizzare i legami che esistono con la ISO 31000. Un’analisi condotta in termini di capacità delle organizzazioni di adeguarsi al cambiamento del contesto di riferimento. Nella prossima puntata faremo poi lo stesso con la BS 65000:2014. La ISO 31000 è considerata la principale innovazione nel mondo del Risk Management. Defi nendo i principi, il quadro di riferimento e il processo del Risk Management, la ISO 31000 sposta la visione da un singolo episodio avverso la più ampia incer tezza di poter raggiungere nel tempo gli obiettivi che l’organizzazione intende porsi. Quindi il rischio non più visto come singolo episodio su cui concentrarsi ma come percorso per garantire il raggiungimento degli obiettivi, attraverso la gestione dei rischi. Questo vuol dire un’organizzazione meno reattiva ma più proattiva, capace di attivare un processo che vede tutti i possessori di rischi, di una stessa organizzazione, diventare dei Risk Manager. Questo concetto di corresponsabilità nell’identifi cazione dei rischi è stata fatta più volte nel corso di questa e della precedente puntata. Sarà forse il caso di approfondire questo aspetto per non correre il rischio, tanto per rimanere in materia, che possa apparire un modo di dire senza che dietro ci siano solide basi suppor tate da una lungimiranza manageriale. Prendiamo per esempio l’individuazione dei rischi, delle vulnerabilità, delle minacce, delle probabilità, delle criticità, che sono gli elementi che devono essere analizzati per effettuare un’effi cace Risk Analysis da cui deriveranno decisioni su come trattare i rischi a cui l’organizzazione può trovarsi soggetta. E’ abbastanza intuitivo comprendere che un’attività congiunta da par te di tutti coloro che si trovano nelle migliori condizioni per individuare e valutare un singolo rischio sarà in grado di dare il miglior contributo per ridurne gli effetti, attraverso la valutazione di tutto ciò che a quel rischio è riconducibile, comprese le modalità per mitigarlo. Se questo processo riesce a coinvolgere tutti coloro che sono a contatto con i rischi, in ogni istante, ne deriva che una condivisione del metodo e delle modalità di trattamento della gestione del rischio potrà garantire una maggiore capacità di individuare, in anticipo, le possibili condizioni avverse all’ottenimento degli obiettivi dell’organizzazione. Allargando questo concetto all’intera sfera del Risk Management e ribadendo l’impor tanza di adottare una modalità proattiva, anziché solo reattiva, si potrà meglio comprendere come questo sia un processo di tipo consultivo e collaborativo, che vede tutti gli attori “proprietari” di rischi essere pienamente coinvolti nella gestione del rischio stesso. Ecco perché coloro che adottano modelli organizzativi capaci di garantire una robusta Resilienza Organizzativa preferiscono modelli manageriali in grado di facilitare comunicazioni top-down, bottom-up e peer-to-peer, attivando un processo capace di coinvolgere il maggior numero possibile di soggetti appar tenenti all’organizzazione.
Lo standard ANSI/ASIS.SPC.1-2009 adotta in pieno questi principi, introdotti per la prima volta da ISO 31000. Lo fa mettendo in evidenza il fatto che, per essere resiliente, un’organizzazione deve avere la capacità di adattarsi, nel tempo, alle variazioni che intervengono nei contesti interni e esterni. Per essere in grado di cogliere il massimo delle opportunità e minimizzare le probabilità e le conseguenze di possibili vulnerabilità e minacce, un’organizzazione deve essere preparata e in grado di adattarsi ai cambiamenti che sono richiesti prima, durante e dopo ogni avversità. Inoltre, se l’evento dovesse provocare impatti negativi, dovrebbe tentare di prevenirlo o di imparare dall’evento come riallinearsi o addirittura reinventarsi totalmente, per meglio adattarsi al nuovo contesto. Ciò che è stato trattato fi nora potrà apparire ancor più chiaramente a chi avrà voglia di leggere l’intero ANSI/ASIS SPC.1-2009. Lo troverà esaustivo per affrontare e rispondere ad ogni tipo di evento distruttivo, sia intenzionale che non intenzionale o di tipo naturale.(2) Giunti a questo punto mi preme precisare che uno standard da solo, qualunque esso sia, non può garantire il risultato che lo stesso si prefi gge. Sono necessarie doti manageriali e capacità organizzative adeguate al risultato che si vuole raggiungere. Una volta ancora, quindi, la componente umana prevale su quella procedurale. Non è possibile, per nessuna organizzazione, riuscire ad ottenere dei risultati senza la capacità manageriale di chi la conduce. Questo vale anche per la Resilienza Organizzativa. Ciò che uno standard può aiutare a realizzare è quello di adottare un modello organizzativo già sperimentato e un management system collaudato. Tutto il resto dipende dalla componente umana, sia del management che dei soggetti attivi. Più avanti cercheremo anche di esplorare questi aspetti umani. Alla prossima puntata.
(1) In effetti nel corso degli ultimi anni ci sono stati altri tentativi per affrontare l’argomento, anche se in ambito molto specifi co. Per esempio la ISO 22301 che si occupa di Gestione della Continuità Operativa, così come l’Australian Standard AS/293-2006. Più di recente, nel gennaio 2014, UNI ha pubblicato, riferita alla resilienza delle infrastrutture critiche, la Prassi di Riferimento UNI/PdR 6:2014 che si riferisce anche alla ANSI/ASIS APC.1-2009.
(2) Solo per dare un’idea, già a pagina 2 dello standard è precisato: “questo Standard consente ad un’organizzazione di: a) sviluppare una policy di prevenzione, preparazione e risposta/continuità/recovery; b) stabilire gli obiettivi, procedure e processi per raggiungere gli impegni fi ssati per policy;c) assicurare competenza, consapevolezza e formazione (necessaria per); d) impostare parametri per misurare le prestazioni e dimostrare la validità delle scelte; e) adottare azioni necessarie per migliorare le prestazioni; f) dimostrare la conformità del sistema ai requisiti di questo standard; g) stabilire e applicare un processo per un costante miglioramento. L’allegato A alle pp- 18-40 , che di fatto è la Guida per l’utilizzo dello standard, copre maggiori dettagli: ne parleremo in un numero successivo.
La Resilienza delle organizzazioni - puntata # 1
ASItaly n° 31-Febbraio 2015
L'argomento “Resilienza” potrebbe essere visto sotto diversi punti di vista. Nella tecnologia dei materiali, la Resilienza è intesa come “la resistenza a rottura per sollecitazione dinamica, determinata con apposita prova d’urto”. Al valore di Resilienza viene contrapposto l’indice di fragilità. Qualcosa di simile nella tecnologia dei filati e dei tessuti, dove Resilienza viene associato a “l’attitudine di questi a riprendere, dopo una deformazione, l’aspetto originale”. Più genericamente la Resilienza è defi nita come la “capacità di un materiale di assorbire energia elasticamente quando sottoposto a un carico, o a un urto, prima di giungere a rottura”. Fin qui, un concetto dunque squisitamente fi sico, riferibile ai materiali e alle loro caratteristiche di “resistenza”. La Resilienza di un’organizzazione è, per similitudine: “la velocità con cui un’organizzazione (o un sistema) ritorna al suo stato iniziale, dopo essere stata sottoposta a una perturbazione che l’ha allontanata da quello stato; le alterazioni possono essere causate sia da eventi naturali, sia da attività antropiche”. Le citazioni virgolettate provengono tutte dall’enciclopedia Treccani online.
RESILIENZA DELLE ORGANIZZAZIONI
In questo articolo, e nei successivi, vorrei parlare della Resilienza delle Organizzazioni e degli stretti legami con le diverse discipline organizzative, fra cui la Security, da cui ha dirette dipendenze, ma che non è la sola disciplina che concorre a sostenerla. Un punto va subito messo in evidenza: a differenza di discipline specialistiche, quali il Risk Management, la Security, la Business Continuity, il Crisis Management, il Disaster Recovery, la ICT Security, il Loss Prevention e tutte le discipline che necessitano la presenza di un leader capace di far funzionare il singolo processo, quando parleremo di Resilienza Organizzativa dovremo immaginare che si tratta di una caratteristica strutturale della organizzazione; di un risultato ottenuto tramite l’integrazione di tanti altri fattori. Quindi non è un processo da governare ma il risultato di tanti processi che insieme contribuiscono a raggiungere un livello più o meno alto di Resilienza Organizzativa, o come preferiscono chiamarla gli anglosassoni: Organizational Resilience (OR). Di conseguenza l’attività di management della Resilienza Organizzativa si esplica attraverso la gestione di tutti i processi che sostengono il raggiungimento del più alto livello di Resilienza, da non intendersi una situazione statica, bensì soggetta a continui cambiamenti derivanti da contesti interni e da quelli esterni. Qualcuno potrebbe subito porre la domanda: allora per la Resilienza Organizzativa non occorre un leader? Siamo abituati a vedere soluzioni organizzative che sono basate sulla responsabilità affi data ad un leader. Abbiamo il leader della Total Quality, quello della Compliance, quello dell’Audit, quello della Security. Com’è possibile che possa esistere un qualcosa di organizzativo senza un leader dedicato a gestirlo? In effetti un leader esiste anche per la Resilienza Organizzativa, anzi ne esistono anche più di uno! Tutti i soggetti che interagiscono in una struttura organizzativa hanno un ruolo gestionale agli effetti della Resilienza Organizzativa.
ASPETTI ARCHITETTURALI
Ma facciamo un piccolo passo indietro e vediamo di costruire delle solide fondamenta prima di andare troppo in avanti. Il concetto di Resilienza Organizzativa è fortemente dipendente dalla capacità di gestire il rischio. Solo attraverso un solido processo di Risk Management è possibile individuare, classifi care, verifi care, mitigare le insidie che possono minare la Resilienza di un’organizzazione. Questo aspetto dovrebbe immediatamente richiamare alla mente che il modello organizzativo del Risk Management si basa su un processo ben consolidato e ben inquadrato da uno standard internazionale ben conosciuto agli addetti ai lavori: la ISO 31000. Anche dal punto di vista della defi nizione ci può venire ancora in aiuto uno standard ISO. La ISO CD Guide 73 - Vocabulary, al punto 3.8.1.7 defi nisce la Resilience come “adaptive capacity of an organization in a complex and changing environment”. Locuzione che mette in evidenza tre cose (in grassetto):la Capacità di un’organizzazione in grado di Adattarsi in un ambiente Complesso e Evolutivo. Di conseguenza, questa Capacità (competenza) di Resistere (ai rischi) in Ambiente Complesso e Evolutivo, può riferirsi a qualsiasi tipo di organizzazione (grande, piccola, pubblica, privata, governativa, ecc).
LE SFIDE
Come sopra descritta, la Resilienza Organizzativa si deve confrontare con diverse “sfi de”. Sfi de tipiche di un ambiente complesso e in evoluzione, che partendo dal Risk Management, passa agli aspetti Finanziari, a quelli di Security, di Comunicazione, della Ricerca, del Disaster Recovery, della Business Continuity, della Reputazione, della Gestione Operativa, dell’Opinione Pubblica, del Crisis Management, dei Rapporti Sindacali e forse la più insidiosa, che è rappresentata da una falsa sicurezza del tipo: “a noi non è mai accaduto….”, come spesso si sente ripetere nelle organizzazioni. Un contesto così complesso e in costante evoluzione non può quindi essere affrontato con modalità mono-disciplinari e, ancor peggio, mono-culturali. Ecco perché l’espressione anglosassone “silod” (da silos, contenitore verticale) riferito ad una organizzazione è considerata il modello organizzativo meno adatto per gestire la Resilienza Organizzativa. Come già messo in evidenza in passato a proposito di considerazioni sull’Enterprise Risk Management (ERM), piuttosto che sull’Enterprise Security Risk Management (ESRM), e su Security Convergence, un approccio olistico è la risposta più adeguata per garantire un risultato adeguato, piuttosto che un approccio verticale e settoriale.
CHI È IL LEADER?
E chi è in grado, in un’ organizzazione, di far sì che siano eliminati i “silos” organizzativi? A far sì che le varie funzioni aziendali siano motivate e interessate a comunicare fra di loro, collaborando tutte insieme a rendere più robusta l’organizzazione? L’unico in grado di farlo è il c.d. “Vertice Aziendale”. Colui, o coloro, che hanno diretta responsabilità nel raggiungere tutti gli obiettivi che l’organizzazione si è posta. Concretamente, solo chi si trova nella posizione di dirigere tutta “l’orchestra” è in grado di farla lavorare all’unisono, indicando le giuste priorità e assegnando le appropriate risorse.Quale risulta essere la principale motivazione di colui/coloro interessati a raggiungere tutti gli obiettivi che l’organizzazione si è posta? Per prima, la riduzione dei possibili impatti che possono derivare dai rischi che circondano l’organizzazione. Ma quali sono i rischi di cui il vertice dell’organizzazione deve tener conto? La risposta è semplice: di tutti i rischi che possono ridurre la possibilità, a breve, medio e lungo termine, di raggiungere i risultati che un’organizzazione ha fissato. Credo si cominci a delineare in modo più completo, e con immediato rifl esso sul business, quale sia l’importanza della Resilienza Organizzativa per chi debba governare il presente ed il futuro di un’organizzazione. Non si tratta di un qualcosa che si limita ad una best practice, che può essere opportuno adottare. Non è un accessorio bello ma poco utile. E’ una necessità essenziale che richiede tutta l’attenzione del vertice organizzativo e che, in caso di ambienti complessi, esige un leader di riferimento in grado, tramite i legami ai vari standard che sono stati predisposti, di divulgare le opportune informazioni e provvedere a diffondere la necessaria awareness per ottenere i comportamenti richiesti. Interrompiamo qui questa puntata, ribadendo che a sostegno di tutto ciò che riguarda la Resilienza Organizzativa c’è il processo di Risk Management, di cui parleremo nella prossima puntata.
L'argomento “Resilienza” potrebbe essere visto sotto diversi punti di vista. Nella tecnologia dei materiali, la Resilienza è intesa come “la resistenza a rottura per sollecitazione dinamica, determinata con apposita prova d’urto”. Al valore di Resilienza viene contrapposto l’indice di fragilità. Qualcosa di simile nella tecnologia dei filati e dei tessuti, dove Resilienza viene associato a “l’attitudine di questi a riprendere, dopo una deformazione, l’aspetto originale”. Più genericamente la Resilienza è defi nita come la “capacità di un materiale di assorbire energia elasticamente quando sottoposto a un carico, o a un urto, prima di giungere a rottura”. Fin qui, un concetto dunque squisitamente fi sico, riferibile ai materiali e alle loro caratteristiche di “resistenza”. La Resilienza di un’organizzazione è, per similitudine: “la velocità con cui un’organizzazione (o un sistema) ritorna al suo stato iniziale, dopo essere stata sottoposta a una perturbazione che l’ha allontanata da quello stato; le alterazioni possono essere causate sia da eventi naturali, sia da attività antropiche”. Le citazioni virgolettate provengono tutte dall’enciclopedia Treccani online.
RESILIENZA DELLE ORGANIZZAZIONI
In questo articolo, e nei successivi, vorrei parlare della Resilienza delle Organizzazioni e degli stretti legami con le diverse discipline organizzative, fra cui la Security, da cui ha dirette dipendenze, ma che non è la sola disciplina che concorre a sostenerla. Un punto va subito messo in evidenza: a differenza di discipline specialistiche, quali il Risk Management, la Security, la Business Continuity, il Crisis Management, il Disaster Recovery, la ICT Security, il Loss Prevention e tutte le discipline che necessitano la presenza di un leader capace di far funzionare il singolo processo, quando parleremo di Resilienza Organizzativa dovremo immaginare che si tratta di una caratteristica strutturale della organizzazione; di un risultato ottenuto tramite l’integrazione di tanti altri fattori. Quindi non è un processo da governare ma il risultato di tanti processi che insieme contribuiscono a raggiungere un livello più o meno alto di Resilienza Organizzativa, o come preferiscono chiamarla gli anglosassoni: Organizational Resilience (OR). Di conseguenza l’attività di management della Resilienza Organizzativa si esplica attraverso la gestione di tutti i processi che sostengono il raggiungimento del più alto livello di Resilienza, da non intendersi una situazione statica, bensì soggetta a continui cambiamenti derivanti da contesti interni e da quelli esterni. Qualcuno potrebbe subito porre la domanda: allora per la Resilienza Organizzativa non occorre un leader? Siamo abituati a vedere soluzioni organizzative che sono basate sulla responsabilità affi data ad un leader. Abbiamo il leader della Total Quality, quello della Compliance, quello dell’Audit, quello della Security. Com’è possibile che possa esistere un qualcosa di organizzativo senza un leader dedicato a gestirlo? In effetti un leader esiste anche per la Resilienza Organizzativa, anzi ne esistono anche più di uno! Tutti i soggetti che interagiscono in una struttura organizzativa hanno un ruolo gestionale agli effetti della Resilienza Organizzativa.
ASPETTI ARCHITETTURALI
Ma facciamo un piccolo passo indietro e vediamo di costruire delle solide fondamenta prima di andare troppo in avanti. Il concetto di Resilienza Organizzativa è fortemente dipendente dalla capacità di gestire il rischio. Solo attraverso un solido processo di Risk Management è possibile individuare, classifi care, verifi care, mitigare le insidie che possono minare la Resilienza di un’organizzazione. Questo aspetto dovrebbe immediatamente richiamare alla mente che il modello organizzativo del Risk Management si basa su un processo ben consolidato e ben inquadrato da uno standard internazionale ben conosciuto agli addetti ai lavori: la ISO 31000. Anche dal punto di vista della defi nizione ci può venire ancora in aiuto uno standard ISO. La ISO CD Guide 73 - Vocabulary, al punto 3.8.1.7 defi nisce la Resilience come “adaptive capacity of an organization in a complex and changing environment”. Locuzione che mette in evidenza tre cose (in grassetto):la Capacità di un’organizzazione in grado di Adattarsi in un ambiente Complesso e Evolutivo. Di conseguenza, questa Capacità (competenza) di Resistere (ai rischi) in Ambiente Complesso e Evolutivo, può riferirsi a qualsiasi tipo di organizzazione (grande, piccola, pubblica, privata, governativa, ecc).
LE SFIDE
Come sopra descritta, la Resilienza Organizzativa si deve confrontare con diverse “sfi de”. Sfi de tipiche di un ambiente complesso e in evoluzione, che partendo dal Risk Management, passa agli aspetti Finanziari, a quelli di Security, di Comunicazione, della Ricerca, del Disaster Recovery, della Business Continuity, della Reputazione, della Gestione Operativa, dell’Opinione Pubblica, del Crisis Management, dei Rapporti Sindacali e forse la più insidiosa, che è rappresentata da una falsa sicurezza del tipo: “a noi non è mai accaduto….”, come spesso si sente ripetere nelle organizzazioni. Un contesto così complesso e in costante evoluzione non può quindi essere affrontato con modalità mono-disciplinari e, ancor peggio, mono-culturali. Ecco perché l’espressione anglosassone “silod” (da silos, contenitore verticale) riferito ad una organizzazione è considerata il modello organizzativo meno adatto per gestire la Resilienza Organizzativa. Come già messo in evidenza in passato a proposito di considerazioni sull’Enterprise Risk Management (ERM), piuttosto che sull’Enterprise Security Risk Management (ESRM), e su Security Convergence, un approccio olistico è la risposta più adeguata per garantire un risultato adeguato, piuttosto che un approccio verticale e settoriale.
CHI È IL LEADER?
E chi è in grado, in un’ organizzazione, di far sì che siano eliminati i “silos” organizzativi? A far sì che le varie funzioni aziendali siano motivate e interessate a comunicare fra di loro, collaborando tutte insieme a rendere più robusta l’organizzazione? L’unico in grado di farlo è il c.d. “Vertice Aziendale”. Colui, o coloro, che hanno diretta responsabilità nel raggiungere tutti gli obiettivi che l’organizzazione si è posta. Concretamente, solo chi si trova nella posizione di dirigere tutta “l’orchestra” è in grado di farla lavorare all’unisono, indicando le giuste priorità e assegnando le appropriate risorse.Quale risulta essere la principale motivazione di colui/coloro interessati a raggiungere tutti gli obiettivi che l’organizzazione si è posta? Per prima, la riduzione dei possibili impatti che possono derivare dai rischi che circondano l’organizzazione. Ma quali sono i rischi di cui il vertice dell’organizzazione deve tener conto? La risposta è semplice: di tutti i rischi che possono ridurre la possibilità, a breve, medio e lungo termine, di raggiungere i risultati che un’organizzazione ha fissato. Credo si cominci a delineare in modo più completo, e con immediato rifl esso sul business, quale sia l’importanza della Resilienza Organizzativa per chi debba governare il presente ed il futuro di un’organizzazione. Non si tratta di un qualcosa che si limita ad una best practice, che può essere opportuno adottare. Non è un accessorio bello ma poco utile. E’ una necessità essenziale che richiede tutta l’attenzione del vertice organizzativo e che, in caso di ambienti complessi, esige un leader di riferimento in grado, tramite i legami ai vari standard che sono stati predisposti, di divulgare le opportune informazioni e provvedere a diffondere la necessaria awareness per ottenere i comportamenti richiesti. Interrompiamo qui questa puntata, ribadendo che a sostegno di tutto ciò che riguarda la Resilienza Organizzativa c’è il processo di Risk Management, di cui parleremo nella prossima puntata.
Comunicazione ai Soci ASIS
23.09.2015 Milano
Cari Soci,
Ho il piacere di richiamare la Vostra attenzione sull’evento, Festival ICT 2015 dell’11 novembre 2015 presso Fiera Milano Congressi, che rappresenta un’importante occasione fuori dagli schemi, di socializzazione proattiva e di sviluppo delle relazioni di business nell’ambito dell’information communication tecnology e della security.
Un momento di incontro tra i professionisti del mondo delle tecnologie ICT, con le più importanti aziende nazionali ed internazionali, associazioni, enti, istituzioni, testate giornalistiche ed esperti indipendenti.
Intervenite numerosi all’evento, visitando il sito dedicato http://www.festivalict.com/levento/ e registrandovi gratuitamente al link http://www.festivalict.com/registrazione/
Maurizio Tondi - Eventi e Comunicazione
Cari Soci,
Ho il piacere di richiamare la Vostra attenzione sull’evento, Festival ICT 2015 dell’11 novembre 2015 presso Fiera Milano Congressi, che rappresenta un’importante occasione fuori dagli schemi, di socializzazione proattiva e di sviluppo delle relazioni di business nell’ambito dell’information communication tecnology e della security.
Un momento di incontro tra i professionisti del mondo delle tecnologie ICT, con le più importanti aziende nazionali ed internazionali, associazioni, enti, istituzioni, testate giornalistiche ed esperti indipendenti.
Intervenite numerosi all’evento, visitando il sito dedicato http://www.festivalict.com/levento/ e registrandovi gratuitamente al link http://www.festivalict.com/registrazione/
Maurizio Tondi - Eventi e Comunicazione
Marco Bavazzano, neopresidente ASIS Italy: ecco i futuri obiettivi dell'Associazione
A cura di Monica Bertolo - S News
22.07.2015 Milano - S News incontra Marco Bavazzano, Presidente ASIS International, Italy Chapter
Da qualche settimana lei è il nuovo Presidente ASIS e si appresta ad iniziare il suo mandato, con una squadra che abbiamo constatato estremamente motivata, in parte nuova, ma che assicura al contempo continuità rispetto al passato, grazie alla presenza del precedente Presidente. Quali i suoi obiettivi prioritari?
Il nuovo Consiglio Direttivo raggruppa professionisti che, seppur in contesti industriali differenti, condividono da sempre una profonda cultura della sicurezza; su questa base stiamo lavorando per definire il nuovo piano triennale operativo, che assicuri continuità di indirizzo ma che introduca anche elementi di innovazione.
In particolare vogliamo concentrare le attività del Chapter Italiano di ASIS sulla diffusione, a livello industriale nazionale sia pubblico che privato, di una crescente consapevolezza della sicurezza come "practice integrata e multidisciplinare", in grado cioè di coniugare sia requisiti dell'ambito fisico, che quelli emergenti legati alla sicurezza logica ed alla cyber security, alla gestione del rischio, alla continuità operativa, privilegiando un'impostazione per processi critici.
In questo contesto è evidente il contributo di ASIS Italia anche in termini di formazione, certificazione e specializzazione, come leve gestionali per aumentare e migliorare l’efficacia e la produttività dei professionisti della sicurezza.Il mondo della Sicurezza è cambiato moltissimo negli ultimi anni e molto sta cambiando ancora. In particolare nella Vigilanza, sempre più anche sicurezza sussidiaria, i cambiamenti non sono solo dettati dal mercato e dalla tecnologia, ma anche dalle nuove normative.
Quale, dal suo privilegiato osservatorio, il suo punto di vista sul ruolo e sugli sviluppi futuri del settore?
L'evoluzione è iniziata già da qualche tempo, ma ancor oggi la rigorosa osservanza dell'impianto normativo del TULPS, rappresenta l'elemento irrinunciabile per assicurare un'adeguata qualità del servizio, in un contesto cruciale in cui si intersecano e si influenzano le asincrone istanze di garanzia della concorrenza e di tutela della sicurezza pubblica. Un settore più consolidato e qualificato, con professionisti in grado di far evolvere il servizio non solo in termini di gestione del territorio, degli allarmi e degli interventi ma anche dal punto di vista della capacità di correlazione ed analisi delle informazioni.
Molte sono le Associazioni del settore della Sicurezza, nel panorama italiano. Quali le sinergie che potrebbe essere valido sviluppare, con quali focus e con quali obiettivi?
Considerata la valenza sempre più strategica della Sicurezza per il mercato, e la forte accelerazione a cui questo settore è sottoposto – trascinato da un lato dalla emergente domanda, da un aumentato e sempre più articolato profilo del rischio e della minaccia complessiva, e dall'altro dalla disponibilità di tecnologie e servizi innovativi – le Associazioni devono assolutamente considerare la messa in comune di esperienze, competenze, know-how e specificità, per esempio legate ad un mercato verticale, non solo per creare efficienza e formule di autofinanziamento, ma per cogliere quelle convergenze tecnologiche ed adiacenze di settore che sono già in atto nel mercato della Sicurezza.
La creazione, ad esempio, di un "Security Lab" in cui far convergere e documentare le esperienze, i casi di successo, le best practice più rilevanti per favorire la diffusione della cultura della sicurezza, potrebbe essere un obiettivo condivisibile da differenti selezionate Associazioni.
Asis è un'Associazione molto forte a livello Worldwide. Quali le dinamiche che intende sviluppare sul fronte internazionale?
L'Associazione è una delle più grandi al mondo; il nostro obiettivo è quello di far evolvere e sviluppare il Chapter Italiano e farlo diventare una best practice per una disciplina specifica del portafoglio professionale della Sicurezza.
Ciò consentirebbe di esportare questa eccellenza in altri Chapters e di favorire un sistema collaborativo più integrato e, perciò, fruibile dal mercato.
Da qualche settimana lei è il nuovo Presidente ASIS e si appresta ad iniziare il suo mandato, con una squadra che abbiamo constatato estremamente motivata, in parte nuova, ma che assicura al contempo continuità rispetto al passato, grazie alla presenza del precedente Presidente. Quali i suoi obiettivi prioritari?
Il nuovo Consiglio Direttivo raggruppa professionisti che, seppur in contesti industriali differenti, condividono da sempre una profonda cultura della sicurezza; su questa base stiamo lavorando per definire il nuovo piano triennale operativo, che assicuri continuità di indirizzo ma che introduca anche elementi di innovazione.
In particolare vogliamo concentrare le attività del Chapter Italiano di ASIS sulla diffusione, a livello industriale nazionale sia pubblico che privato, di una crescente consapevolezza della sicurezza come "practice integrata e multidisciplinare", in grado cioè di coniugare sia requisiti dell'ambito fisico, che quelli emergenti legati alla sicurezza logica ed alla cyber security, alla gestione del rischio, alla continuità operativa, privilegiando un'impostazione per processi critici.
In questo contesto è evidente il contributo di ASIS Italia anche in termini di formazione, certificazione e specializzazione, come leve gestionali per aumentare e migliorare l’efficacia e la produttività dei professionisti della sicurezza.Il mondo della Sicurezza è cambiato moltissimo negli ultimi anni e molto sta cambiando ancora. In particolare nella Vigilanza, sempre più anche sicurezza sussidiaria, i cambiamenti non sono solo dettati dal mercato e dalla tecnologia, ma anche dalle nuove normative.
Quale, dal suo privilegiato osservatorio, il suo punto di vista sul ruolo e sugli sviluppi futuri del settore?
L'evoluzione è iniziata già da qualche tempo, ma ancor oggi la rigorosa osservanza dell'impianto normativo del TULPS, rappresenta l'elemento irrinunciabile per assicurare un'adeguata qualità del servizio, in un contesto cruciale in cui si intersecano e si influenzano le asincrone istanze di garanzia della concorrenza e di tutela della sicurezza pubblica. Un settore più consolidato e qualificato, con professionisti in grado di far evolvere il servizio non solo in termini di gestione del territorio, degli allarmi e degli interventi ma anche dal punto di vista della capacità di correlazione ed analisi delle informazioni.
Molte sono le Associazioni del settore della Sicurezza, nel panorama italiano. Quali le sinergie che potrebbe essere valido sviluppare, con quali focus e con quali obiettivi?
Considerata la valenza sempre più strategica della Sicurezza per il mercato, e la forte accelerazione a cui questo settore è sottoposto – trascinato da un lato dalla emergente domanda, da un aumentato e sempre più articolato profilo del rischio e della minaccia complessiva, e dall'altro dalla disponibilità di tecnologie e servizi innovativi – le Associazioni devono assolutamente considerare la messa in comune di esperienze, competenze, know-how e specificità, per esempio legate ad un mercato verticale, non solo per creare efficienza e formule di autofinanziamento, ma per cogliere quelle convergenze tecnologiche ed adiacenze di settore che sono già in atto nel mercato della Sicurezza.
La creazione, ad esempio, di un "Security Lab" in cui far convergere e documentare le esperienze, i casi di successo, le best practice più rilevanti per favorire la diffusione della cultura della sicurezza, potrebbe essere un obiettivo condivisibile da differenti selezionate Associazioni.
Asis è un'Associazione molto forte a livello Worldwide. Quali le dinamiche che intende sviluppare sul fronte internazionale?
L'Associazione è una delle più grandi al mondo; il nostro obiettivo è quello di far evolvere e sviluppare il Chapter Italiano e farlo diventare una best practice per una disciplina specifica del portafoglio professionale della Sicurezza.
Ciò consentirebbe di esportare questa eccellenza in altri Chapters e di favorire un sistema collaborativo più integrato e, perciò, fruibile dal mercato.
ASIS: Eletto il nuovo Direttivo
29.06.2015 - S News
È stato di recente eletto il nuovo Consiglio Direttivo del Chapter italiano di ASIS International, la più grande organizzazione di professionisti della sicurezza a livello mondiale, con più di 36.000 iscritti nel mondo e presente in oltre 200 Paesi.
Presidente è Marco Bavazzano, CEO di Axitea, mentre la carica di Vicepresidente è stata attribuita a Leonardo Maria Rosa, Security Manager di Intesa San Paolo.
Il nuovo Consiglio Direttivo, che sarà alla guida dell'associazione per il prossimo triennio, comprende: Fabio Mulazzani, Laura Panigada di Hospira, Angela Pietrantoni di Scienze per la Sicurezza Consulting, Michele Pontrelli di Coesia, Maurizio Tondi di Axitea. Oltre ai sette membri del Consiglio Direttivo, sono stati anche nominati come Membri Permanenti: Genséric Cantournet di Telecom Italia, Alessandro Lega e Roger Warwick.
Il Chapter italiano conta 80 iscritti, che rappresentano sia primarie aziende nazionali o multinazionali in Italia e alcuni rappresentanti di enti governativi. Obiettivi e linee guida dell’Associazione insistono sulla diffusa consapevolezza e aumentata necessità di sicurezza da parte delle aziende, sulla convergenza tecnologica, sulla formazione e sulla specializzazione come leve gestionali per aumentare e migliorare l’efficacia e la produttività dei professionisti della sicurezza. L'Associazione gestisce e implementa tre certificazioni riconosciute a livello mondiale: CPP (Certificazione per Security Manager), PCI (Certificazione per Investigatori Privati), PSP (Certificazione per Esperti in Sicurezza Fisica).
È stato di recente eletto il nuovo Consiglio Direttivo del Chapter italiano di ASIS International, la più grande organizzazione di professionisti della sicurezza a livello mondiale, con più di 36.000 iscritti nel mondo e presente in oltre 200 Paesi.
Presidente è Marco Bavazzano, CEO di Axitea, mentre la carica di Vicepresidente è stata attribuita a Leonardo Maria Rosa, Security Manager di Intesa San Paolo.
Il nuovo Consiglio Direttivo, che sarà alla guida dell'associazione per il prossimo triennio, comprende: Fabio Mulazzani, Laura Panigada di Hospira, Angela Pietrantoni di Scienze per la Sicurezza Consulting, Michele Pontrelli di Coesia, Maurizio Tondi di Axitea. Oltre ai sette membri del Consiglio Direttivo, sono stati anche nominati come Membri Permanenti: Genséric Cantournet di Telecom Italia, Alessandro Lega e Roger Warwick.
Il Chapter italiano conta 80 iscritti, che rappresentano sia primarie aziende nazionali o multinazionali in Italia e alcuni rappresentanti di enti governativi. Obiettivi e linee guida dell’Associazione insistono sulla diffusa consapevolezza e aumentata necessità di sicurezza da parte delle aziende, sulla convergenza tecnologica, sulla formazione e sulla specializzazione come leve gestionali per aumentare e migliorare l’efficacia e la produttività dei professionisti della sicurezza. L'Associazione gestisce e implementa tre certificazioni riconosciute a livello mondiale: CPP (Certificazione per Security Manager), PCI (Certificazione per Investigatori Privati), PSP (Certificazione per Esperti in Sicurezza Fisica).
