Traendo spunto dal tema della discussione affrontata in sede di riunione con i soci ANSSAIF, che si è tenuta lo scorso 12 aprile, questa settimana intendo soffermarmi sul modo in cui i promotori della sicurezza affrontano la questione. E’ percezione diffusa, per chi se ne occupa, che la maggior parte delle volte non sia ascoltato. A questo punto c’è da chiedersi se la strategia di comunicazione adottata ed i temi proposti siano effettivamente validi.
E’ usanza tentare di coinvolgere gli interlocutori ponendo in primo piano il disagio ed i danni provocati dagli incidenti, quando possibile mirando a raccontare gli eventi catastrofici. Ma se quest’approccio può funzionare, risalendo la scala gerarchica, sino al middle management – impressionabile dai racconti -, il top management ha imparato a rispondere a tono, vanificando qualsiasi sforzo evangelico.
Le obiezioni comuni sono: gli investimenti in consulenza e tecnologia sono troppo elevati – poi chissà se un incidente accadrà mai, proprio a me – e lo stesso vale se paragonati con eventuali sanzioni a fronte dell’inosservanza di requisiti delle normative obbligatorie (tanto i controlli li fanno ogni morte di papa). Inoltre gli stessi promotori della sicurezza, nel tentativo di ricercare le aree di miglioramento che possano ricondurre ad una maggiore stabilità sull’argomento, sono molto concentrati sui soliti temi, alcuni più nuovi, altri un po’ troppo datati per risultare ancora irrisolti.
Riguardano l’importanza del ruolo ricoperto dalle persone nelle attività di prevenzione e gestione dei rischi, l’eccessiva attenzione verso i sistemi tecnologici a discapito delle questioni organizzative e l’approccio commerciale aggressivo dei vendor di settore che propongono soluzioni ben confezionate – a svantaggio di uno stile sartoriale, essenziale per le PMI -, ingessate e sovradimensionate, anche nel prezzo. Poi esiste il discorso che riguarda l’adeguatezza dell’offerta formativa universitaria e l’incapacità delle organizzazioni di promuovere la consapevolezza.
Proviamo però a ragionare su un ulteriore aspetto: tentiamo di promuovere la sicurezza intesa in senso ampio, integrato, in una parola, olistico. Ma abbiamo effettivamente provato a fornire soluzioni concrete ad effettivo vantaggio di tutti quanti? Oppure stiamo esclusivamente cercando di portare i colleghi di altri settori al nostro orticello, inducendoli in un modo o nell’altro ad accettare contromisure e controlli? Potremmo seguitare nel ragionamento tentando di riflettere su quali siano le funzioni aziendali solitamente più lontane dal nostro obiettivo.
E ascoltandone le esigenze, provare a comprendere qual è il tassello mancante, che rende le attività della sicurezza così mute e così sordo chi non se ne occupa direttamente. Parliamo ad esempio dei commerciali e delle funzioni di controllo di gestione. I primi devono vendere, vendere, vendere. I secondi, tagliare dove possibile. E se vendere diventa difficile, applicando le dovute cautele in termini di sicurezza (un prospect annoiato potrebbe equivalere ad un cliente perso), tagliare diventa una tentazione a cui è duro resistere. Insomma, seguitare a ragionare sulla sicurezza come abbiamo fatto sino ad ora equivale a servire ai nostri avversari interni la vittoria su di un piatto d’argento: hanno ragione loro ad infischiarsene delle nostre raccomandazioni, perché non sono loro utili. Dobbiamo quindi escogitare il modo di mettere in atto un cambio di passo.
Di soluzioni utili se ne possono incontrare molte. Al commerciale si potrebbe dare visibilità di come il margine di contribuzione lordo valutato per l’emissione di un’offerta potrebbe ridursi sensibilmente nel medio-lungo periodo se dovesse accadere un incidente. Si può pensare di dare visibilità predittiva ai prospect dell’eventuale rischio economico connesso al servizio / prodotto offerto, a seconda delle soluzioni adottate. Alle funzioni di controllo di gestione si potrebbero dare i dati necessari per realizzare proiezioni di budget più realistiche; lo stesso dicasi per la valutazione dei ROSI (Return On Security Investment).
Per poter farlo è però importante – ed arriviamo al nocciolo della questione – disporre di tre elementi fondamentali: saper come implementare un meccanismo simile, avere i dati necessari a svolgere questi calcoli e sapere effettivamente come analizzare i risultati, cambiare punto di vista nell’approccio alle questioni, privilegiando una visione orientata al servizio a discapito del più consueto sguardo rivolto al processo o all’asset.
Insomma, roba da multinazionali. Ma per le PMI resta pochissimo margine d’azione. Soluzione? Un framework metodologico condiviso che riguardi esattamente questi tre punti? Un ponte tra gli output economici della security e quelli di bilancio? Questo per parlare una lingua comune anche con i non addetti ai lavori e, soprattutto, consentire alle PMI di avere uno strumento per fare finalmente qualcosa di concreto.
Non so se sia la soluzione corretta all’incomunicabilità tra gli attori, ma certamente potrebbe diventare argomento di maggior ragionamento e discussione.