Richmond Security Director Forum

Il mondo “nuovo” che stiamo affrontando, descrivibile dall’acronimo VUCA (Volatility, Uncertainty, Complexity, Ambiguity), sintetizza le caratteristiche del contesto nel quale viviamo e agiamo, come persone e come organizzazioni. Il termine fu adottato dal US Army War College di Carlise in Pennsylvania per descrivere il mondo multilaterale più volatile, incerto, complesso e ambiguo, che si è presentato alla fine della Guerra Fredda. In questi due anni molte colleghi e funzioni di Corporate Security hanno avuto un ruolo chiave nel guidare e gestire gli “eventi critici”, inattesi ed improvvisi che si sono manifestati. In questo scenario desideriamo riflettere sull’organizzazione delle funzioni oggi dopo due anni così intensi, sulle lezioni imparate e soprattutto sulle sfide future che dovremo affrontare per rendere le nostre organizzazioni e persone pronte, affidabili e antifragili.

PAOLA OFELIA FRANCESCA GUERRA

Presidente ASIS International – Chapter Italy. Trenta anni di esperienza nella ricerca, formazione e consulenza in ambito Corporate Security & Safety Management, Travel Security, Risk & Crisis Management, People & Business Care. Svolge attività di ricerca sui temi di Governance e Organizzazione della Security coordinando un Osservatorio sui modelli organizzativi e i sistemi di governo della Security oltre che sui temi di Gestione e Psicologia dell’Emergenza e di People Care. Già docente e ricercatore presso il centro SPACE (Security & Protection Against Crime and Emergencies) dell’Università Bocconi dal 1992 al 2008. Fonda a L’Aquila nel 2009 la Scuola Internazionale Etica & Sicurezza Milano – L’Aquila. Dal 2015 si dedica agli studi di Psicologia delle Emergenze e Psicologia Cognitiva Applicata; con un focus sullo studio dei meccanismi della paura, della percezione del pericolo, delle reazioni fisiologiche, emotive e comportamentali nelle emergenze e sulla promozione del benessere di persone e organizzazioni dopo le emergenze. Dopo la triennale in Scienze e tecniche psicologiche è ora iscritta alla Magistrale di Scienze Cognitive applicate dell’Università di Padova. Psicologa delle Emergenze di Psicologi per i Popoli Regione Toscana. Partecipante Gruppi di Lavoro UNI per la redazione e revisione della normazione tecnica nazionale e internazionale: UNI/CT043 – Sicurezza Società e del Cittadino e in particolare UNI/CT043/GL02 – “Gestione del Rischio”, UNI/CT043/GL05 – “Organizzazione e Gestione della Sicurezza”, UNI/CT043/GL06 – “Protezione Civile”. Ha partecipato attivamente alla redazione e alle revisioni della Norma UNI 10459:2017 – Professionista della Security. Socia dal 1992 di AIPSA dove ha ricoperto numerosi ruoli. Membro Comitato Scientifico dell’ Associazione Nazionale Controllo Del Vicinato. Membro Gruppo di Lavoro Travel «Health, Safety & Security» in ASSOLOMBARDA.

Le informazioni aziendali rappresentano un asset strategico per le moderne imprese e come tale devono essere oggetto di una particolare attenzione da parte del security manager. Dato che esistono diverse categorie di informazioni, da quelle relative ai fini strategici dell´azienda, passando per le informazioni relative ai dipendenti e ognuna di queste categorie necessita di un livello di protezione differente, il security manager deve elaborare delle strategie atte a classificare le informazioni e garantire loro una protezione adeguata. Nello sviluppo di una adeguata rete di protezione delle informazioni aziendali, il security manager deve focalizzare la sua attenzione sui tre principi fondamentali, vale a dire confidenzialità, integrità e disponibilità (detta anche triade CIA – Confidentiality, Integrity and Availability). La sicurezza informatica aziendale è la salvaguardia dell’integrità, della riservatezza e della disponibilità di dati e informazioni di un’impresa, che deve di conseguenza approntare delle strategie di protezione degli apparati informatici contro i cyber attacchi. Tuttavia, per quanto la parte “tecnica” della protezione di dati e informazioni aziendali sia fondamentale, il security manager non deve trascurare altri due aspetti altrettanto importanti: 1) La componente umana: la stragrande maggioranza degli incidenti cyber, infatti, è causata da errori e negligenze delle persone. Il security manager deve perciò sviluppare un percorso di collaborazione con i dipendenti della sua azienda, fondato su relazioni di fiducia, che renda possibile rafforzare i concetti di security e anticipare possibili incidenti. 2) La gestione dei fornitori (third party providers): in molti casi dati e informazioni aziendali vengono messi in pericolo dalla mancata implementazione di un adeguato sistema di gestione dei rapporti con i fornitori

ERIK MARANGONI

Dopo la laurea in Scienze Politiche, ha prestato servizio come Ufficiale presso l´Arma dei Carabinieri nelle sedi di Fossano (CN) e Moncalieri (TO). Congedatosi con il grado di Tenente, ha frequentato un Master in Relazioni Internazionali presso l´Universita di Bologna, per poi approdare al Gruppo UniCredit nel 2001. Dal 2006 al 2013 ha occupato diversi ruoli nella security aziendale in diverse societa del gruppo UniCredit in Italia, Austria, Ucraina e Kazakistan. Dal 2013 rientra in Austria dove crea la struttura di security di Sberbank Europe AG. Dopo una breve parentesi in qualita di fraud manager presso la banca americana Addiko, dal gennaio 2022 ricopre la carica di Head of Security & BCM presso card complete Service Bank AG. Appassionato di storia, geopolitica e relazioni internazionali, ha recentemente concluso un Master of Science in Management & IT presso l´universita Danube di Krems e un MBA presso la Wirtschaftsuniversität di Vienna.

L’Intelligenza artificiale (IA) ha accelerato i processi di rilevazione delle violazioni negli asset cyber-fisici, supportando concretamente i Security Operations Centre (SOCs) delle organizzazioni nei processi di gestione della sicurezza e della affidabilità. Ma non sono tutte buone notizie, purtroppo! L’adozione della IA comporta anche alcuni rischi che possono tradursi in minacce di severità elevata per i sistemi e per la società: un soggetto malevolo può intenzionalmente tentare di sfruttare l’ IA per trarne un vantaggio, utilizzandola, di fatto, come arma per perseguire un crimine. In questo talk si evidenzieranno le recenti tendenze e problematiche aperte nella ricerca scientifica e nella ricerca industriale, percorrendo la sottile linea rossa che delimita benefici e rischi del binomio Intelligenza Artificiale e CyberSecutity.

Un’attenta raccolta ed analisi dei dati può permettere di individuare aree ed azioni attraverso cui abbattere la probabilità di taccheggio interno o esterno. Individuare le classi di dati rilevanti, sviluppare possibilità di approfondimento di analisi fino alla singola referenza, confrontare trend, ricercare correlazioni, incrociare numeri alla ricerca di caso, errori, malagestione colposa, malagestione dolosa, dolo. Una utile e consapevole estrazione ed elaborazione delle informazioni disponibili rende spesso possibile l’individuazione di situazioni di contesto che necessitano tipi di protezione straordinari. Come e dove agire.

Alcuni recenti interventi normativi sono destinati ad apportare profonde modifiche al sistema dei controlli su comportamenti illeciti di dipendenti. In questo contesto l’adozione di una policy antifrode per la prevenzione e gestione degli illeciti (anche attraverso specifici protocolli investigativi aziendali) è sede naturale in cui potrà essere affrontato il contesto dei controlli preventivi e successivi in materia di frodi ed illeciti, nonchè gli aspetti organizzativi e gestionali relativi alle segnalazioni ed alla protezione dell’identità dei segnalanti. Di fatto, ad oggi, hanno cominciato a proliferare sul mercato servizi di terzi per segnalare irregolarità aziendali, abusi, frodi, furti ed attività contrarie alle leggi e normative, compreso il Codice Etico, con la collaborazione dei propri dipendenti in coerenza con la recente normativa sul Whistleblowing. In questo contesto non si può prescindere dalla partecipazione di tutti e a tutti i livelli, nel presupposto che il controllo interno possa avere efficacia solo attraverso il contributo di tutte le funzioni aziendali, tra le quali la funzione Security riveste sicuramente un ruolo rilevante.

Le nostre abitudini influenzano in modo significativo sia ciò che facciamo che come lo facciamo. Un imprenditore è un tutt’uno con il proprio brand. Le abitudini personali possono quindi influenzare il business ed essere determinanti. Le Abitudini non sono un destino, le possiamo ignorare, potenziare, sostituire o mantenere. Quasi il 40% delle azioni che svolgiamo tutti i giorni sono conseguenza di un’abitudine e non di una scelta consapevole. Gran parte del marketing sfrutta proprio il potere delle abitudini per comprendere i bisogni dei clienti. Spesso associamo le Abitudini al concetto di Routine, inteso come ripetitività rigida, mentre invece è possibile ragionare con più flessibilità, una skill fondamentale in questa nuova fase in cui stiamo vivendo. Faremo un viaggio alla scoperta di come si formano, quanto ci condizionano e soprattutto… come possiamo modificarle o inserirne di nuove. Possiamo innescare il cambiamento esplorando in questo Laboratorio che faremo insieme, alcune straordinarie Strategie. “Noi siamo quello che facciamo ripetutamente. Perciò l’eccellenza non è un’azione, ma un’abitudine” (Aristotele).

Il manager generativo ha occhi capaci di cogliere la bellezza delle persone. È costantemente impegnato nella ricerca del loro valore, e quando lo trova, lo svela sia a sé sia all’altro. In questo seminario ci alleneremo a diventare attenti osservatori pronti a cogliere gli indizi che ci aiutano a riconoscere la bellezza altrui nonostante i possibili veli che la celano.

Siamo abituati a pensare che si impari soprattutto dalle esperienze, dunque dal passato. In questo seminario scopriremo che apprendimenti ancora più stimolanti possiamo trarli dal futuro. Quello che vogliamo costruire. Ci alleneremo a riportare la capacità di sognare nella nostra quotidianità lavorativa e a trarne stimoli e apprendimenti inaspettati.