BCM Ticino Day 2015, 18 settembre 2015 Business Continuity Management: qual è la differenza tra la gestione del rischio e la resilienza? LE CERTIFICAZIONI DI SICUREZZA
Agenda Le parole chiave Rischi, pericoli ed emergenze ERM e CM: le questioni aperte Resilienza e continuità Centralità del rischio negli standard Certificazione persone La forza dell etica nel promuovere Sicurezza e Resilienza Valore della crescita e centralità della persona
LE PAROLE CHIAVE Pericoli Rischi Emergenze Continuità Resilienza Sopravvivenza Crescita Valore 4
Da Rischi a Pericoli ad Emergenze
CLASSIFICAZIONE DI INCIDENTI ED EMERGENZE CAUSE NATURALI E PANDEMIE Terremoto Eruzioni Vulcaniche Tsunami/Uragani Alluvioni Frane e allagamenti Malattie pandemiche DISASTRI DOLOSI Terrorismo Attentati Violenza di massa Bombe Sabotaggio Spionaggio Tampering Attacchi Informatici ERRORI COLPOSI ED INCIDENTI Esplosioni industriali Incidenti tecnologici Fuori uscita di gas Black out Inquinamento Incidenti e infortuni sul lavoro 6
ERM: OBIETTIVO Trasformare il profilo di rischio iniziale nel profilo di rischio più coerente con gli obiettivi aziendali Obiettivo prioritario: conoscenza del profilo di rischio da fronteggiare 7
PROCESSO DI GESTIONE DEL RISCHIO Identificazione Valutazione del rischio Gestione del rischio individuazione alternative di gestione selezione del piano di gestione ottimale Monitoraggio risultati Revisione tecniche di gestione 8
CM: METODOLOGIA DI APPROCCIO INDIVIDUAZIONE EVENTI E ANALISI DEI RISCHI MONITORAGGIO CONTINUO PREPARAZIONE E PREVENZIONE RITORNO AD UNA NUOVA NORMALITA E APPRENDIMENTO CRISIS MANAGEMENT RILEVAZIONE SEGNALI DEBOLI FRONTEGGIAMENTO 9
TEMI APERTI PREVISIONE INFORMAZIONE PREPARAZIONE TEMI APERTI ALLERTA ALLARME PIANIFICAZIONE COMUNICAZIONE 10
KEY ISSUES Dagli studi sul risk e crisis management e su diversi casi, emergono alcune questioni critiche : 1. Bias Ottimistico e percezione del rischio 2. Previsione e Preparazione 3. Miopia Organizzativa e segnali deboli 4. Comunicazione del rischio 5. Comportamenti individuale e collettivi nel pericolo 11
PERCEZIONE Rischio percepito Esplicito Rischio non percepito Implicito 12
RESILIENZA 13
RISK & EMERGENCY MANAGEMENT RESILIENCY RISK & EMERGENCY 14
Rischio Resilienza Continuità Risk Management Con=nuity Resiliency 15
Relazioni PERSONE RISCHIO AZIENDE EMERGENZA RESILIENZA COMUNITA CONTINUITA 16
CENTRALITÀ RISCHIO NEGLI STANDARD ISO 9001 Sistema di Gestione della Qualità ISO 14001 Gestione Ambientale ISO 31000 Risk Management ISO 22301 Societal Security Business Continuity Management System ISO IEC 27001 Information Security Management System ISO 28000 -Specification for security management systems for the supply chain 17
CERTIFICAZIONI PERSONE 2^ parte 1^ parte 3^ parte CERTIFICAZIONI 18
DRI International: un punto di riferimento per il DRM La certificazione Tasks Forma professionisti di settore Fornisce certificazioni professionali nell'ambito del Business Continuity Management E il punto di riferimento mondiale del Business Continuity Management (Gestione della Continuità Operativa) e Disaster Recovery Planning, uno dei più noti enti di certificazione dei professionisti del settore. Ad oggi più di 40.000 professionisti hanno sostenuto gli esami per accedere al network DRI Supporta le aziende Favorisce il Networking tra professionisti di settore Attraverso la specifica formazione di professionisti del settore, DRI supporta le aziende in condizioni di crisi, nel ripristino delle attività interrotte, attraverso strategie, di continuazione del business, di gestione dei rischi operativi Più di 40.000 Business Continuity Professional mantengono attiva la loro certificazione in tutto il mondo attraverso blog specializzati, siti, applicazioni web based, newsletter.
Posizionamento professionisti certificati DRI Italy 1-5 6-10 11-15 Manifacturing Consulenza Telco & Media Istituti Finanziari Assicurazioni P.A.
Professional Practices Modello di Gestione BCM Program Initiation & Management Stabilire la necessità di un programma di Business Continuity Management con il sostegno dello sponsor Risk Evaluation and Control Business Impact Analysis Business Continuity Strategies Emergency Response and Operations Plan Implementation and Documentation Awareness and Training Programs B.C. Plan Exercise, Audit & Maintenance Crisis Communications Coordination with External Agencies Identificare i rischi e le vulnerabilità dell'impresa che sono sia intrinseche che acquisite attraverso lo sviluppo di strategie Stabilire le potenzialità degli eventi critici per quantificare e qualificare tali impatti sul sistema aziendale Raccogliere dati per la valutazione dei rischi per identificare le continuità operative disponibili e strategie di recupero Definire i requisiti per sviluppare e attuare il piano di risposta alle situazioni di emergenza Implementare le strategie di continuità approvate dall'ente e documentare i piani di recupero in caso d incidente Diffondere una consapevolezza istituzionale, affinché i dipendenti siano pronti a rispondere al verificarsi di un evento. Monitorare le attività per valutare lo stato di prontezza affinché ci sia un miglioramento continuo della capacità di recupero dati Sviluppare un piano di comunicazione efficace e tempestiva tra l'entità e tutte le parti coinvolte nella fase di recupero Stabilire le politiche e le procedure per coordinare le attività di risposta, di continuità e il recupero con enti esterni
LE FIGURE PROFESSIONALI DRI ASSOCIATE BUSINESS CONTINUITY PROFESSIONAL (ABCP) Il grado di Associate Business Continuity Professional è destinato a chi si occupa di BCM da meno di 2 anni. Si tratta quindi del livello d'ingresso nella struttura della certificazione BCM. E' possibile richiedere il successivo avanzamento ad un grado superiore per titoli senza rifare il 'Qualifying Exam'. CERTIFIED BUSINESS CONTINUITY VENDOR (CBCV) La qualifica di Certified Business Continuity Vendor è la qualifica destinata a chi opera vendor (fornitore) in questo settore da più di due anni. come CERTIFIED FUNCTIONAL CONTINUITY PROFESSIONAL (CFCP) Il grado di Certified Functional Continuity Professional è rivolto a che s'è occupato di almeno 3 delle 10 Aree di Competenza professionale (Professional Practices) del BCM da più di 2 anni. CERTIFIED BUSINESS CONTINUITY PROFESSIONAL (CBCP) La qualifica di Certified Business Continuity Professional è quella internazionalmente più diffusa e nota nel settore del BCM. Riconosce la capacità professionale di chi si occupa da più di 2 anni di almeno 5 delle 10 Aree di Competenza professionale (Professional Practices) del BCM MASTER BUSINESS CONTINUITY PROFESSIONAL (MBCP) Il grado finale di Master Business Continuity Professional è riservato a chi si occupa di BCM da più di 5 anni e può dimostrare esperienza in almeno 7 delle aree d'interesse del BCM.
IL PROFESSIONISTA DELLA SECURITY AZIENDALE Definito nella nuova edizione della Norma UNI10459:2015 La norma definisce i requisiti del professionista della security aziendale, ovvero la persona fisica le cui conoscenze, abilità e competenze sono tali da garantire la gestione complessiva del processo di security o di rilevanti sotto processi. I requisiti sono stabiliti in conformità al Quadro Europeo delle Qualifiche (European Qualification Framework EQF): profilo A (EQ7), B (EQ6) e C (EQ5). La Certificazione in conformità con EN ISO/IEC 17024 può essere un processo di valutazione e convalida. Si introduce il concetto di Sistema di gestione della Security Aziendale (SGSA) secondo i criteri della norma UNI ISO 9001 e lo standard della norma UNI ISO 31000 sulla gestione dei rischi. 23
Security Aziendale: definizione della Norma Attività volta a prevenire, fronteggiare e superare gli eventi che possono verificarsi a seguito di azioni in prevalenza illecite e che espongono le persone e i beni (materiali e immateriali) dell organizzazione a potenziali effetti lesivi e/o dannosi. 24
Le figure professionali previste SECURITY MANAGER SECURITY EXPERT SENIOR SECURITY MANAGER SECURITY 25
IL PROFESSIONISTA DELLA SECURITY AZIENDALE: ALCUNE DEFINIZIONI Conoscenza Competenza Abilità 26
IL PROFESSIONISTA DELLA SECURITY AZIENDALE: COMPETENZE Condurre e gestire tutti gli aspetti di security a titolo esemplificativo e non esaustivo: Sicurezza fisica Sicurezza delle informazioni e delle strutture ICT Contrasto agli illeciti ed alle frodi interne ed esterne (ad esempio, truffe, sabotaggi, ecc.); Security delle persone Security degli eventi gestiti dall organizzazione Adempimenti di security previsti da requisiti cogenti Investigazioni e gestione degli accadimenti afferenti alla security Impegnarsi nella raccolta, nella elaborazione e gestione delle informazioni a supporto delle decisioni strategiche del business, supportando l analisi dei contesti Geopolitici 27
IL PROFESSIONISTA DELLA SECURITY AZIENDALE: CONOSCENZE Sistema organizzativo, processi, policy Principi di sostenibilità, CSR Legislazione italiana in materia di security, safety, privacy, reati informatici,. Infrastrutture critiche nazionali ed europee Sicurezza trasporti (ADR, ISPS code, ) Standard Risk Management Security Risk Assessment Elaborazione Piano di Security Classificazione e tutela delle informazioni Principi di Progettazione urbanistica ai fini della sicurezza anticrimine (CPTED) Sistemi di sicurezza attiva e passiva Sistemi e metodi di Business Continuity e Crisis Management 28
IL PROFESSIONISTA DELLA SECURITY AZIENDALE: CONOSCENZE Processi, metodi e strumenti di intelligence Realizzazione/aggiornamenti/compliance e audit di piani e procedure di security Tecniche e strumenti di comunicazione Pianificazione, programmazione e controllo Elementi di psicologia dell individuo e delle masse Lingua inglese 29
IL PROFESSIONISTA DELLA SECURITY AZIENDALE: COMPORTAMENTI PERSONALI Alta integrità morale e assenza di pregiudizi Controllo dell emotività Accuratezza nel riportare i fatti sia verbale che per iscritto Flessibilità e capacità di adattamento Capacità decisionale 30
IL PROFESSIONISTA DELLA SECURITY AZIENDALE: ABILITÀ (SKILLS) - ESEMPI Analisi Sintesi Soluzione dei problemi Autosviluppo Comunicazione Lavorare in gruppo e gestione del team Orientamento al cliente Negoziazione Gestione dei conflitti Autocontrollo e gestione dello stress Pianificazione e programmazione Organizzazione Decisione Orientamento ai risultati Tenacia Iniziativa Flessibilità 31
FORMAZIONE & CERTIFICAZIONE 32
La forza dell Etica per promuovere la Sicurezza e la Resilienza 33
ETICA: DEFINIZIONE L'etica (dal greco antico εθος (o ήθος)[1], èthos, "carattere", "comportamento", "costume", "consuetudine") è quella branca della filosofia che studia i fondamenti oggettivi e razionali che permettono di distinguerli in buoni, giusti, o moralmente leciti, rispetto ai comportamenti ritenuti cattivi o moralmente inappropriati. 34
ETICA E FILOSOFIA Le riflessioni in Occidente nascono con Socrate, La sua etike theoria ("teoria etica") consiste: La ricerca del bene finalizzato alla verità si attua nel dialogos (l'argomentare della conversazione) applicandolo prevalentemente all'esame in comune (extazein) di concetti morali fondamentali, tendendo alla verità su sé stessi (dàimon), cioè alla cura dell anima (psyche), per perseguire sia il bene interiore, sia quello della polis (città). 35
ETICA IN PRATICA È L etica, è l insieme di norme che guidano e influenzano la consuetudine e l agire, norme che possono essere scritte e non scritte e che si originano dal buon senso, dal rispetto per l altro e per l ambiente. L etica è definita come la scienza della condotta in quanto detta le regole morali da seguire nell assunzione delle scelte e dei comportamenti (Abbagnano) 36
ETICA E LEGGE - legge: obbligatoria aspetto sanzionatorio - l etica: volontaria sanzioni volontarie Legge Complementarietà Etica codifica di norme di comportamento Indirizza i comportamenti 37
RESPONSABILITÀ IN AZIENDA RESPONSABILITÀ CIVILI RESPONSABILITÀ PENALE RESPONSABILITÀ AMMINISTRATIVE RESPONSABILITÀ SOCIALI 38
STRUMENTI CSR UNIISO26000: l identikit dell azienda responsabile del terzo millennio. Il primo principio è la responsabilità che l impresa deve assumersi rispetto al suo impatto sulla società e sullo sviluppo, accettando eventuali controlli; il secondo è la trasparenza, in particolare rispetto ai suoi obiettivi di responsabilità sociale e alla provenienza delle risorse finanziarie; il terzo è l etica: l obbligo a comportarsi in modo onesto, rispettando le persone e l ambiente; il quarto è il rispetto degli stakeholders; il quinto il rispetto della legge; il sesto il rispetto degli standard di comportamento internazionali e infine dei diritti umani. 1. Ascolto e dialogo con e fra gli stakeholder 2. Condivisione dei Valori Carta dei Valori 4. Codice Etico e Comitato Etico 5. Bilancio Sociale e Certificazione Etica (SA 8000) 6. ISO 26.000 e i 7 principi 39
ETICA DELL IMPRESA E NELL IMPRESA L etica non deve essere intesa come un complesso di principi o di valori da trasmettere ed applicare in modo formale nell organizzazione ma deve tradursi in una «mentalità» Cioè in un modo corretto di affrontare i problemi di scelta ed i rapporti interpersonali agire in modo etico condivisione di un criterio di giudizio etico rispetto e valorizzazione degli interessi degli interlocutori Ciò che conta è la prospettiva etica, ovvero il modo d inquadrare e risolvere i problemi, inserendo i princìpi morali negli atti di scelta. 40
ETICA DELL IMPRESA E NELL IMPRESA Nelle aziende è crescente il bisogno sia di un agire etico condiviso che consolidi i mercati, sia di persone che incarnino, con realismo, tali valori. E importante distinguere: ETICA D IMPRESA, cioè mentalità o orientamento che caratterizza in senso globale l organizzazione aziendale e le azioni dell azienda ETICA NELL IMPRESA, cioè riguarda i modi secondo cui si applicano i criteri etici nelle scelte e nei comportamenti da assumere di ogni appartenente all azienda 41
ETICA DELL IMPRESA E NELL IMPRESA L etica nell impresa è un etica derivata per due motivi: 1. Discende dal comportamento degli individui che operano nell organizzazione 2. Il rispetto dei valori morali deve combinarsi con quello di valori economici e ambientali Va notato che il comportamento individuale dipende da: - valori posseduti dai soggetti - cultura organizzativa - valori posseduti dalla società 42
ETICA DELL IMPRESA E NELL IMPRESA Il comportamento etico è, dunque, sempre il risultato di un processo dialettico nel quale entrano in gioco valori personali e dell organizzazione l etica «nell impresa» riguarda i modi secondo cui si applicano, ai vari livelli dell organizzazione e da parte dei singoli responsabili aziendali, criteri etici nelle scelte e nei comportamenti da assumere. Sotto il profilo etico, il funzionamento dell organizzazione può essere pertanto facilitato od ostacolato in rapporto all eventuale divaricazione tra valori morali individuali e regole imposte dal management aziendale. 43
ETICA DELL IMPRESA E NELL IMPRESA E necessario partire dalla considerazione che l etica d impresa è un «etica secondaria» perché, come si è ripetuto più volte, l impresa non può avere una sua etica autonoma rispetto al corpo sociale (complesso di individualità), che costituisce la sua struttura organizzativa. Un azienda come persona giuridica non ha di per sé una coscienza, non può essere vista come un soggetto morale, ma può essere considerata un sistema o una struttura più o meno moralmente connotata. Nella vita aziendale si dovrebbe puntare a diffondere l etica nell impresa con l aspirazione di rafforzare, nel tempo, i connotati ideali di una vera e propria etica d impresa. 44
Le 3 E E E E Esempio Estrapolazione Esercizio continuo 45
Esempio Ognuno di noi deve avere come obiettivo primario quello di essere sempre un ESEMPIO da imitare con il quale DIALOGARE! Non importa quindi che cosa siamo o siamo diventati ma chi siamo per le persone con le quali lavoriamo quotidianamente o potremmo incontrare nel futuro prossimo. O per nostra scelta o per uno strano gioco del destino il ruolo che noi abbiamo in azienda acquista ogni giorno una maggiore importanza e delicatezza. Essere professionisti in questo vitale settore ci deve portare a dare sempre più spazio ai valori etici per creare armonia utile ad una crescita globale della Sicurezza! 46
Estrapolazione Etica e Sicurezza è e sarà sempre più anche analizzare e raccogliere nuovi rischi e segnali deboli, approfondire una situazione poco chiara e credere che tutto faccia parte di un sistema che deve essere sempre il più equilibrato e armonico possibile. Ognuno di noi ha dei punti forti di riferimento, dei veri e propri poli che ci guidano in ogni attività, lo sforzo per gestire le nuove sfide sarà quello di estrapolarci il più presto possibile dalle nostre certezze e, pur non dimenticandole, dialogare a 360 con tutti. Armonia nelle diversità! 47
Esercizio Continuo E ormai evidente che atti criminosi, disastri tecnologici e naturali ed ogni altro tipo di evento nefasto (dolosi e colposi) possono capitare H24. Dobbiamo quindi essere sempre pronti a prevenire e a difendere da fatti indesiderati. Questa considerazione ci obbliga ad essere sempre pronti a reagire nel migliore dei modi e pertanto bisogno aumentare non soltanto il livello delle proprie competenze con la formazione ma soprattutto con l esercitazione continua. I nostri consigli pratici: 1. Ampliare l Ascolto e il Dialogo; 2. Cercare il feedback; 3. Esercizi e test mensili; 4. GAMING, Simulazioni Giocate per studiare scenari passati, presenti e futuri. 48
PERSONA E CRESCITA AL CENTRO Sembra essere impossibile finche non viene realizzato! L istruzione è l arma più potente che puoi usare per cambiare il mondo. Non ciò che ci viene dato ma la capacità di valorizzare al meglio ciò che abbiamo è ciò che ci distingue! 49
GRAZIE PER L ATTENZIONE! ' : +39 0862 1956141 Email: paola.guerra@scuolaeticaesicurezza.eu Sito: www.scuolaeticaesicurezza.eu 50