Non è possibile impostare un piano di controllo dei rischi, se essi non sono stati prima correttamente identificati e non gli è stato attribuito un peso, legato alla probabilità e all’impatto, conseguenti al verificarsi del rischio stesso. Di A.Biasiotti.
Qualunque esperto che abbia partecipato ad un corso per professionisti della security sa che la prima regola da applicare è quella afferente alla conduzione di un’analisi di rischio. Un rischio non identificato evidentemente non potrà essere messo sotto controllo. Parimenti, un rischio identificato ma non correttamente valutato potrebbe portare all’adozione di misure di mitigazione e contrasto non appropriate.
A questo proposito, è oltremodo utile il ricorso a norme di valenza europea o internazionale, rispettivamente EN oppure ISO, che rappresentano lo stato dell’arte; ciò significa che un’analisi di rischio condotta secondo l’indicazione dell’enorme porta ad impostare correttamente l’intera strategia di difesa dell’insediamento aziendale, oppure delle attività svolte.
Purtroppo proprio lo stesso comitato tecnico, che si occupa di valutazione del rischio, ha messo in evidenza come ad oggi la situazione sia alquanto confusa, in quanto esistono numerosi schemi normativi, che permettono di impostare un analisi di rischio. Tali sistemi normativi sono stati concepiti in maniera parcellizzata, affrontando solo determinate aree di rischio e manca, ad oggi, un approccio generalizzato a questi temi.
A ciò si aggiunga che in molte norme, documenti ove in precedenza non si parlava di analisi di rischio, come ad esempio l’ormai famosa UNI EN ISO 9001:2015, si fa ora invece specifico riferimento alla conduzione di un’analisi di rischio. Poiché questa normativa aggiornata sui sistemi di qualità ha un’estensione larghissima, la prescrizione di condurre l’analisi di rischio deve materializzarsi in contesti oltremodo diversi e diversificati.
In chiusura di questo articolo offro una rassegna delle normative oggi esistenti nel settore, che permettono di mettere in evidenza proprio quanto sia frammentata la situazione.
Vi sono rischi afferenti alla gestione della security vera e propria, rischi afferenti ai sistemi ambientali ed alla sostenibilità, rischi afferenti alla continuità operativa dell’azienda, rischi afferenti alla integrità è continuità operativa dei sistemi informativi.
Non dimentichiamo inoltre che spesso la sopravvivenza dell’azienda è affidata alla costante disponibilità di documentazione, sia in forma elettronica, sia in forma cartacea, che deve essere tempestivamente disponibile per supportare attività critiche aziendali.
Un attento lettore certamente non potrà dimenticare il fatto che anche i prodotti alimentari rappresentano un aspetto essenziale dell’analisi di rischio, sia quando questi prodotti vengono venduti a terzi, sia quando questi prodotti vengono utilizzati in casa. Un inquinamento di questi prodotti o arrecare danno ai clienti ma anche ai dipendenti.
Non parliamo poi di bustarelle e mazzette, una piaga della società civile, alla quale bisogna porre tassativamente rimedio, adottando specifiche procedure, codici etici ed altri sistemi, che sono presi in carico da specifiche normative.
Questa è la ragione per la quale il gruppo di lavoro, che vorrebbe cercare di mettere a punto una procedura armonizzata per l’approccio alla gestione del rischio, ha ritenuto opportuno, nella sua prima riunione, effettuare un’attenta analisi di tutte le normative esistenti, afferenti ad analisi di rischio in vari settori, in modo da avere a disposizione una base normativa, dalla quale si spera si potrà estrarre un compendio armonizzato.
Nell’esprimere a questo gruppo di lavoro, a nome dei miei lettori e miei, il ringraziamento per questa impegnativa opera, colgo l’occasione per offrire di seguito una rassegna aggiornata delle normative esistenti proprio in tema di analisi di rischio.
Normative per sistemi di gestione a afferenti alla sicurezza, sviluppate nell’ambito di ISO/TC 292
– ISO 18788:2015 Management system for private security operations – Requirements with guidance for use
– ISO 28000:2007 Specification for security management systems for the supply chain
– ISO 34001 Authenticity, integrity and trust for products and documents security management system (under development)
Altre normative per sistemi di gestione sviluppati in conformità a ISO MSS (Type A), annesso SL
– ISO 9001:2015, Quality management systems – Requirements
– ISO 14001:2015, Environment management systems – Requirements with guidance for use
– ISO 20121:2012, Event sustainability management systems – Requirements with guidance for use
– ISO 22301:2012, Societal security – Business continuity management systems – Requirements
– ISO/IEC 27001:2013, Information technology – Security techniques – Information security management systems – Requirements
– ISO 30301:2011, Information and documentation – Management systems for records – Requirements
– ISO 39001:2013, Road-traffic safety (RTS) management systems – Requirements with guidance for use
– ISO 55001:2013, Asset management – Requirements MSS (Type A) not yet revised in accordance with Annex SL
– ISO/IEC 20000-1:2011, Information technology – Service management – Part 1 : Service management system requirements (under revision)
– ISO 22000:2005, Food safety management systems – Requirements for any organization in the food chain (under revision)
– ISO 30000:2009, Ships and marine technology – Ship recycling management systems – Specifications for management systems for safe and environmentally sound ship recycling facilities
– ISO 50001:2011, Energy management systems – Requirements with guidance for use (under revision)
Altre normative in corso di sviluppo
– ISO 21001, Educational organization management systems – Requirements with guidance for use
– ISO 24562, Water efficiency management systems – Requirements with guidance for use
– ISO 30401, Human resource management – Knowledge management systems – Requirements
– ISO 37001, Anti-bribery management systems
– ISO 45001, Occupational health and safety management systems – Requirements with guidance for use
Vedi anche http://www.iso.org/iso/home/standards/management-standards.msslist.htm
Altri testi di riferimento
– ISO TMB N 346 Management system standards survey paper
http://www.iso.org/iso/home/standards/management-standards.mss-list.htm
– ISO Strategic advisory group- Security (SAG-S) Inventory of security standards- Timelines collection 2014
– ISO 31000:2009 Risk management – Principles and guidelines
E scusate se è poco!
Adalberto Biasiotti
Fonti: Puntosicuro.it