Ecco perché nessuno può definirsi Manager della Resilienza, ma anche perché ogni Organizzazione dovrebbe averne uno

  ICT, Rassegna Stampa, Security
image_pdfimage_print

Fino a pochi anni fa era raro incontrare qualcuno in grado di rispondere a questa semplice domanda: “cosa significa resilienza?”

Il termine era già ben noto nel contesto scientifico, in particolare nell’ingegneria (la resilienza dei materiali) e in psicologia. Alcune aziende all’avanguardia hanno iniziato ad utilizzarlo già 12-13 anni fa, ma si trattava solo di pochi casi.

In poco tempo, questo affascinante e potente concetto ha risvegliato le coscienze dei più saggi, coloro che ritengono che la sicurezza sia possibile solo attraverso il coinvolgimento di ogni singolo individuo e con una metodologia che possa assistere i professionisti passo dopo passo in una gestione efficace dell’organizzazione.

Da quel momento in poi, i principi della resilienza si sono diffusi molto rapidamente. Al giorno d’oggi, non esiste settore o ambito accademico che non discuta di resilienza.

Dopo tutto, nel gestire qualunque tipo di azienda, i due fattori fondamentali per mantenere la salute e il successo di un’organizzazione sono: 1) un’eccellente resilienza e 2) dei profitti sostenibili.

Solitamente, entrambi i risultati si ottengono grazie alla guida di manager esperti, innovativi e con uno spiccato senso etico. Questo tipo di dirigenti considera la resilienza un investimento, non un costo.

I manager più illuminati ricercano inoltre dei profitti che siano sostenibili negli anni. Questi professionisti non fanno l’errore di molti, cioè produrre ricchezza oggi in cambio di più rischi domani. Per di più, essi si impegnano a rispettare gli standard etici (evitando truffe, evasione fiscale, inquinamento e corruzione).

Il concetto di resilienza è così strettamente legato alla buona gestione di un’organizzazione che, a mio parere, ogni azienda o istituzione che oggi voglia essere efficiente, moderna e competitiva dovrebbe impegnarsi per raggiungerne un grado significativo.

Durante la mia lunga carriera professionale, sono stata molto fortunata a lavorare in un’azienda che investiva in questo aspetto. E adesso che gestisco la mia, sono felice di poter dire che metto in pratica tutto ciò che predico nella teoria.

Ma come si raggiunge un buon grado di resilienza? Negli ultimi anni, molti professionisti di diverse discipline si sono appropriati del concetto di resilienza. Direi che c’è stata una vera e propria gara per affermare la predominanza di una disciplina rispetto ad un’altra nell’implementazione della resilienza.

Spesso molte persone affermano, sbagliando, che la loro area di competenza (come la Cybersecurity, il Risk Management, la Business Continuity, il Crisis Management, il Disaster Recovery e altre) possa garantire, da sola, una solida resilienza all’intera organizzazione.

Ritengo, a questo proposito, che il documento pubblicato dal Business Continuity Institute nel 2016 (BCI Statement on Organizational Resilience), seguito dal Manifesto for Organizational Resilience, abbia chiarito una volta per tutte il significato del termine “Resilienza”.

La prospettiva più autorevole proviene poi dall’International Standards Organization. La ISO 22316 – Security and Resilience – Organizational Resilience – Principles and Attributes – pubblicata nel marzo 2017 ci fornisce l’interpretazione definitiva e più corretta del termine.

La verità è che nessuna delle discipline menzionate sopra è sufficiente di per sé al raggiungimento della resilienza; nonostante ciò, l’implementazione a livello avanzato di tutte quelle discipline insieme (e di altre ancora) può sicuramente aiutare un’organizzazione a raggiungere un buon livello di resilienza.

Personalmente, mi considero un’esperta di Business Continuity, Risk Management e Crisis Management. Inoltre, sono stata Technology e Operations Manager di una multinazionale, dove ricoprivo un ruolo internazionale. Pertanto, mi considero esperta anche di Organizzazione.

Questo per dire che ho una grande esperienza nel gestire funzioni di controllo e di back office, così come dell’IT. Se tutta questa mia esperienza fosse sufficiente, non ci penserei due volte a cambiare il mio titolo in manager o esperta di Resilienza.

Ma sfortunatamente non è così. E non lo dico per modestia, ma perché è la verità più assoluta. Non possiedo tutte le competenze e la giusta conoscenza per essere una Resilience Officer a 360 gradi. Ma, in fin dei conti, esiste qualcuno che si possa davvero definire tale?

Nonostante ciò, ritengo fermamente che ogni azienda dovrebbe incaricare una specifica persona per la gestione della Resilienza organizzativa. Ci sono almeno cinque ragioni per cui questa sarebbe una scelta vincente.

  • Tutti insieme per un obiettivo comune: l’obiettivo di ogni persona impegnata nel Risk Management, nel Business Continuity Management, nel Crisis Management, o nella Cyber Security è lo stesso, ovvero proteggere gli asset dell’azienda.Sia che si tratti di dati, di persone o di risorse fisiche, tutti gli ambiti sopra menzionati – e molti altri all’interno dell’organizzazione – condividono lo stesso obiettivo. Perciò, perché non riunirli tutti insieme attorno allo stesso tavolo?
  • Per una questione di coerenza e coordinamento: il modo in cui le cose funzionano oggi nella maggior parte delle aziende non è né efficiente né efficace. Ad esempio, i Risk Manager si occupano della valutazione dei rischi, mentre i manager di Business Continuity si occupano dell’analisi dei rischi e delle minacce. C’è un’evidente sovrapposizione. I due ruoli fanno due analisi separate e parlano raramente tra di loro.Se facessero una singola analisi, unendo le loro forze, ciò sarebbe non solo più efficiente dal punto di vista dei costi, ma risulterebbe anche in un lavoro più proficuo per l’intera organizzazione.
  • La sinergia tra i professionisti della resilienza: se tutti i manager sopra menzionati riportassero allo stesso leader, il Resilience Manager, ci sarebbero molti benefici per il lavoro di tutti.In effetti, il motto latino “divide et impera” (dividi e governa) è, al giorno d’oggi, vecchio e datato – e non funzionava troppo bene neanche 2000 anni fa, secondo me.
    • Si condividerebbero informazioni che attualmente sono tenute nascoste nei singoli dipartimenti. Poiché lavorano separatamente, questi professionisti non condividono nessuna delle informazioni cruciali con gli altri, e questo ha un impatto negativo sul lavoro di ognuno di loro.
    • Tutti potrebbero imparare qualcosa dagli altri. Unendo le forze, questi professionisti non solo otterrebbero delle informazioni che prima potevano solo immaginare, ma avrebbero anche accesso a competenze e conoscenze che prima erano loro precluse. Risultato: un lavoro migliore per ogni persona al tavolo e una migliore resilienza per l’intera organizzazione.
  • Un nuovo, brillante modo di pensare: se tutti questi professionisti lavorano separatamente, continuano a fare ciò che hanno sempre fatto: la loro checklist. Con un manager e degli obiettivi comuni, avrebbero invece una visione condivisa e andrebbero oltre al proprio campo di competenza.Prenderò come esempio i piani di evacuazione. Il classico approccio ai piani di evacuazione è il seguente: alla fine del test, la persona responsabile raduna tutti in un punto di raccolta, dichiara il test terminato e invita tutti a ritornare al lavoro. Qui finisce il suo lavoro.

    Se il piano fosse gestito in un’ottica di Resilience Management, invece, ecco cosa accadrebbe: il manager raduna tutti gli individui, si accerta che siano tutti fuori, riconciliando anche quelli che non sono presenti, e poi pone a tutti questa semplice domanda: “Chi saprebbe cosa fare se non potessimo più rientrare nell’edificio?”

    Un Resilience Manager si assicura che l’obiettivo ultimo della resilienza sia sempre presente nelle menti di tutti, con la conseguenza che l’organizzazione diventa più solida e efficiente.

  • Indipendenza e imparzialità: come può un controllore dipendere da colui che dovrebbe controllare? Oggi, l’Information Security spesso si trova sotto il dipartimento IT. Ciò rende inevitabilmente il loro lavoro meno efficace. Se invece riportassero a un Resilience Manager? L’indipendenza è fondamentale in questo caso.

La mia previsione per il futuro – non così remoto – è che posizioni come il “Resilience Manager” o il “Chief Resilience Officer” diventeranno molto diffuse nei vari settori.

Avendo alle spalle più di 40 anni di carriera, ricordo i tempi in cui pochissime aziende avevano un CFO (Chief Financial Officer). La mia scommessa è che in pochi anni la figura del CRO (Chief Resilience Officer) sarà diffusa come quella del CFO.

Di recente, molte città hanno nominato il loro Chief Resilience Officer. Questo ruolo diventerà prestigioso come altre posizioni di leadership e per effetto di questo le organizzazioni soffriranno meno crisi.

Al giorno d’oggi, le organizzazioni più affermate sono già mature riguardo le tecniche di resilienza e ritengo che adottare una prospettiva di prevenzione, così come una cultura del controllo, abbia una grande influenza positiva anche nell’approccio al business più in generale.

Troppo spesso vediamo manager poveri di valori, alla ricerca di profitti a breve termine, che lasciano l’organizzazione in una grave crisi perché l’azienda ruota intorno ai guadagni facili (vedi alla voce derivati, subprime, scarsi investimenti in innovazione, ecc.) e non pensa mai alla prevenzione. Ora è tempo di cambiare questo paradigma e di crescere una generazione di Resilience Manager di successo.

A cura di: Gianna Detoni

L’articolo Ecco perché nessuno può definirsi Manager della Resilienza, ma anche perché ogni Organizzazione dovrebbe averne uno proviene da ICT Security Magazine.

https://www.ictsecuritymagazine.com/articoli/ecco-perche-nessuno-puo-definirsi-manager-della-resilienza-ma-anche-perche-ogni-organizzazione-dovrebbe-averne-uno/