Security Consulting

La sicurezza fisica si prefigge come scopo quello di proteggere persone e beni (mobili, immobili, immateriali) da atti intenzionali perpetrati da soggetti che possono essere mossi da ragioni differenti. Cosa diversa è la Safety che ha come scopo quello di elaborare strategie e soluzioni di contrasto ad eventi di natura accidentale, ma che, in un efficiente “Sistema di Sicurezza”, è complementare e integrata alla sicurezza fisica.

Quest’ultima si attua attraverso un combinato disposto di uomini, tecnologie e procedure. La funzione primaria della Sicurezza Fisica consiste nel rilevare, ritardare e rispondere prontamente ad un dato evento, mentre la sua funzione secondaria è la deterrenza (Garcia, 2008, pp 2-6). In tale ottica il progetto di un Sistema di Sicurezza si attua in tempi e modi diversi passando necessariamente attraverso le due principali attività quali il Risk Assessment ed il Risk Management.

risk-assessment-img

Risk Assessment

L’attività di Risk Assessment si esplica attraverso l’individuazione, l’analisi e la valutazione dei rischi ed è necessariamente propedeutica a quella di Risk Managment.

I metodi per l’individuazione dei rischi possono essere induttivi o deduttivi (leggasi qualitativi o quantitativi), questo dipende dalla quantità di dati che si hanno a disposizione e dal contesto. Entrambi i metodi hanno punti forti e debolezze, ma il metodo quantitativo è quello che può più facilmente essere illustrato in termini di tradeoff (costo/beneficio) tuttavia esso non è applicabile in mancanza o carenza di dati o serie storiche.

L’analisi dei rischi cerca di rispondere a domande del tipo:

Cosa può andare storto?

Cosa verosimilmente andrà storto?

Quali sono le conseguenze? (Kaplan & Garrick,1981).

L’attività di valutazione del rischio è legata a concetti quali frequenza, probabilità, magnitudo del rischio (ricordiamo che la frequenza si misura dopo l’accadimento di uno o più eventi, mentre la probabilità si calcola prima che questo/i si verifichi/no).

risk-management-img

Risk Management

Immediatamente dopo l’attività di Risk Assessment, viene quella di Risk Management, la quale cerca di rispondere ai seguenti quesiti:

Cosa può esser fatto?

Quali opzioni ho a disposizione?

Qual è il miglior tradeoff in termini di costi, benefici, rischio residuo?

Quale sarà l’impatto delle decisioni manageriali sulle opzioni future (Kaplan & Garrick,1981).

Tutto questo è orientato alla riduzione del rischio che non sarà mai assoluta, ma che dovrà tendere ad un rischio residuo accettabile.

In generale un rischio può essere ridotto in tre modi:

Prevenzione;

Protezione;

Mitigazione delle conseguenze. (Protection of assets – Physical Security, 2012, pp 42-43).

crisis-management

Crisis Management

La gestione delle crisi consiste nella pianificazione di come un’organizzazione debba comportarsi in caso di eventi potenzialmente dannosi che possono arrivare a minacciare la sopravvivenza della stessa. In un’organizzazione impreparata, il verificarsi di eventi improvvisi e indesiderati può generare confusione in coloro che sono chiamati a farvi fronte con l’effetto, spesso, di peggiorarne le conseguenze ed i danni patrimoniali, umani o reputazionali. La gestione delle crisi aziendali può essere considerata come “la chiusura del cerchio” di un buon sistema di scirurezza. Più in particolare si tratta di una serie di procedure che, a seconda dell’evento/i in atto o già occorso/i, individuano gli attori coinvolti e le azioni da compiere ad essi demandate con lo scopo di contenere le conseguenze nel più breve tempo possibile. Al fine di armonizzare i processi, molto spesso, queste attività sono oggetto di simulazioni o esercitazioni. Come per tutte le altre attività di un Sistema di Sicurezza, il Crisis Management non è un “monolite inossidabile” ed è quindi soggetto a continue migliorie frutto delle esperienze pregresse.

phisical-penetration-test

Physical Penetration Test

Un Physical Penetration Test consiste in una simulazione di attacco da parte di un fiduciario terzo ingaggiato dall’organizzazione al fine di verificare il livello di sicurezza di impianti, infrastrutture e personale.

Solitamente esso riguarda strutture quali: siti industriali, infrastrutture critiche, porti, aeroporti.

I risultati del test sono presentati in un report dettagliato che individua:

  • Carenze relative alla progettazione;
  • Carenze relative alle procedure e/o processi;
  • Carenze infrastrutturali, dei sistemi elettronici (TVCC, impianto anti-intrusione, Controllo accessi, etc.)
  • Carenze nell’addestramento del personale
  • Altre Carenze relative la sicurezza.

Questi risultati costituiscono il punto di partenza per implemetare l’intero sistema di sicurezza.