security plan

Security Plan: che cos’è, a cosa serve e chi lo redige

4214 0

Il Security Plan, o piano di sicurezza, è il processo che analizza la security aziendale con lo scopo di prevenire situazioni dannose. Necessario per progettare, pianificare, implementare e gestire un sistema integrato ed efficiente di sicurezza anticrimine.

In questo articolo vediamo a cosa serve, chi lo redige e quali sono gli obiettivi.

Cos’è il Security Plan

All’interno di un’organizzazione, un processo di Security Plan rappresenta un momento fondamentale di gestione delle complessità della sicurezza, analizzandola metodicamente e facendola evolvere da problema a valore aggiunto aziendale.

Il Security Plan contribuisce infatti a prevenire situazioni potenzialmente dannose per il raggiungimento degli obiettivi prefissati, la salvaguardia degli asset e il sostentamento della produttività d’impresa.

Quali sono gli obiettivi del Security Plan?

La gestione metodica e strutturata dei processi di security è lo scopo del Security Plan, la cui elaborazione e attuazione rientra fra i compiti e le attività specifiche del professionista della security.

Occorre infatti valutare le criticità e le problematiche di security con metodo, con un approccio sistematico e coerente, che tenga conto del contesto di riferimento all’interno del quale si agisce, per trovare le soluzioni più adeguate ed efficienti per il raggiungimento degli obiettivi prefissati.

Chi redige il Security Plan?

Il professionista della security in azienda redige il Security Plan al fine di prevenire eventi dannosi.

Prevenire è meglio che curare ma è sovente più complicato, in quanto richiede capacità che non possono essere improvvisate e non sono di carattere meramente tecnico o tecnologico: un approccio preventivo alla security richiede necessariamente professionalità, attitudini, competenze ed esperienza.

  1. Chi è il professionista della security?

    Il professionista della security è la figura professionale il cui approccio preventivo alla security richiede necessariamente professionalità, attitudini, competenze ed esperienza.
    Il professionista della security deve essere in grado di precedere gli eventi e prefigurarsi i possibili scenari futuri, calarsi nel contesto per poter governare i rischi con lungimiranza, deve possedere un intuito fine e penetrante che gli consenta di cogliere anche quello che sfugge ai più o che appare evidente soltanto quando ormai è troppo tardi, di giocare d’anticipo e mai di rimessa, sfruttando le proprie abilità strategiche e organizzative.

Piano di sicurezza: in cosa consiste

La definizione e l’analisi degli obiettivi strategici, tattici e operativi globali dell’organizzazione funge da input per il piano di sicurezza. Il piano di sicurezza va inteso come una tabella di marcia che – una volta assegnate le priorità da soddisfare, in base alla propensione al rischio e ai predetti obiettivi organizzativi generali – stabilisce le risorse e i progetti specifici necessari per rispondere alle esigenze di sicurezza individuate nell’ambito di un’organizzazione, nell’ottica di un miglioramento continuo orientato all’eccellenza.

Il Security Plan consiste nella pianificazione strategica di policy, programmi, protocolli, procedure gestionali e prassi operative strettamente correlate alle attività di:

  • identificazione,
  • analisi,
  • valutazione,
  • trattamento e
  • comunicazione del rischio di security

Tutto ciò al fine di identificare le azioni efficaci e le risorse necessarie da attivare per raggiungere gli obiettivi prefissati, gestendo le incertezze, identificando le possibili alternative e stabilendo le priorità di intervento.

Risk Management e Security Plan

Fare Security Plan significa attingere ai principi del risk management enunciati nella Norma ISO 31000:2018 e applicare una collaudata tecnica di governance multilivello dei rischi che, attraverso l’uso di strumenti di diversa natura e alle migliori condizioni di costo, riesca a salvaguardare le risorse necessarie al perseguimento della mission di un’organizzazione e a garantire la redditività delle attività di business, secondo le aspettative di tutti i portatori di interesse – interni ed esterni – che sono coinvolti (stakeholders).

Il principio ispiratore comune a tutti i modelli internazionali di risk management rimane il ciclo di Deming, un metodo di gestione iterativo in quattro fasi utilizzato per il controllo e il miglioramento continuo dei processi e dei prodotti.

Affinché un Security Plan risulti efficace ed efficiente, è necessario quindi che rispetti alcuni principi essenziali, secondo un approccio di risk management mutuato dalla norma ISO 31000:2018.

Essi rappresentano le fondamenta di ogni valutazione, processo o procedura di sicurezza e vanno verificati e soddisfatti prima di avviare un programma o piano di security.

Il Security Plan a supporto dell’Organizzazione

Il Security Plan deve essere efficace nel supportare un’organizzazione nel:

  • definire le strategie di business in funzione dei rischi di origine criminosa cui è esposta, contribuendo nella creazione e protezione del valore dell’organizzazione;
  • raggiungere gli obiettivi, procedendo secondo un metodo rischi/benefici che tenga conto di ogni possibile incertezza capace di trasformarsi in fattore sfavorevole;
  • gestire in maniera ottimale ed efficace le misure di prevenzione e mitigazione adottate nell’ambito della security;
  • prendere decisioni informate, basate su conoscenza approfondita della materia in esame, utilizzabili trasversalmente nelle logiche globali di business;
  • accrescere la sensibilità nei confronti della cultura della sicurezza aziendale;
  • favorire il miglioramento continuo dell’organizzazione, attivando processi dina-mici e iterativi di controllo e revisione.

Come deve essere redatto un Piano di Sicurezza

Un Security Plan, per risultare davvero efficace, deve essere:

  • costruito su misura (“tailored solution”), ad hoc, con caratteristiche e requisiti unici e personalizzati per ogni progetto, coerenti con il contesto e le finalità perseguite, e conformi alle reali esigenze di sicurezza dell’organizzazione;
  • parte integrante delle attività dell’organizzazione (attraverso un triplice approccio gestionale/strategico/tattico, organizzativo e operativo);
  • conciso, strutturato, funzionale;
  • facilmente comprensibile e largamente partecipato, trasparente, diffuso e condiviso.

Il fattore umano in un piano di sicurezza

L’elemento più critico, l’anello debole della catena resta sempre e comunque il fattore umano (people risk), determinante per costituire e mantenere un sistema di sicurezza aziendale di qualità.

Esso rappresenta il punto centrale di ogni progetto di sicurezza e, data la sua natura, non è certo un punto di forza ma al contrario di minore resistenza, quello dove più agevole risulta portare l’attacco e dove più necessario e determinante appare il dover impostare la difesa.

La sicurezza è il frutto di una partecipazione costante, concreta e diretta di tutti (visione olistica).

Un Security Plan rappresenta un sistema pianificato di sicurezza collettiva. Il coinvolgimento attivo di tutto il personale nei progetti di sicurezza e nei processi di tutela aziendale costituisce uno strumento di grande efficacia per il mantenimento di elevati livelli di protezione. 

Processo di Security Plan: le fasi

Il processo di Security Plan è un insieme di step sequenziali diviso in quattro fasi:

Fase 1: Il committment

Non è possibile sviluppare efficaci piani di prevenzione e protezione se prima non si ha un’idea chiara di cosa vogliamo proteggere. Per questa ragione, prima di avviare un processo di Security Plan all’interno di un’organizzazione, ci si dovrebbero porre alcune domande chiave, necessarie a redigere una sorta di checklist preventiva fare il punto della situazione di partenza e definire e visualizzare gli obiettivi cui si tende.

 Fase 2: Il processo di Risk Assessment

La valutazione del rischio, come detto, è una fase di natura tecnico-statistica e dipende dal contesto all’interno del quale si pongono le problematiche da analizzare: essa rappresenta il processo globale di individuazione, analisi e ponderazione dei rischi che si realizza in tre sotto-fasi ben distinte:

  • Risk identification
  • Risk analysis
  • Risk evaluation 

FASE 3 – Il processo di risk treatment e reporting

La valutazione dei rischi non è sufficiente per gestirli: essa ci suggerisce solamente cosa non si dovrebbe fare, non cosa si dovrebbe fare. I rischi, infatti, dipendono dalle decisioni che vengono prese dal top management aziendale per affrontarli. Il processo di trattamento dei rischi rappresenta una tecnica per definire la migliore strategia di gestione e riduzione del rischio residuale.

FASE 4 – Monitoraggio e riesame

Il processo di gestione del rischio di security non sarebbe completo se non prevedesse una fase di revisioni periodiche e follow-up (risk monitoring) volta a verificare l’efficace tenuta nel tempo e il buon funzionamento del piano di sicurezza che è stato progettato e implementato all’interno di un’organizzazione, in termini di risultati raggiunti rispetto agli obiettivi prefissati. Questa attività di monitoraggio costante e iterativo consente anche di apportare eventuali interventi correttivi e azioni responsabili nel processo strategico di gestione dei rischi.

Per sapere di più consulta i volumi di EPC Editore

Aggiornati con i corsi dell’Istituto INFORMA

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore