La valutazione del rischio aziendale: parallelismo tra GDPR e il Security Management.

Con l’entrata in vigore nel 2016 del GDPR (Regolamento generale sulla protezione dei dati) nell’Unione Europea e recepito dall’Italia nel 2018, si è intensificato il dibattito sulla vulnerabilità e sull’analisi del rischio aziendale nel contesto della sicurezza informatica o cyber security.

La normativa europea rende obbligatoria l’analisi del rischio all’interno delle aziende, perché la protezione dei dati ha una forte rilevanza nei confronti dei diritti e delle libertà individuali.

Negli ultimi anni, le aziende hanno iniziato a trattare e gestire, in modo esplicito e organizzato, temi come vulnerabilità, conseguenze del rischio e probabilità di eventi avversi, sviluppando così una propensione alla prospettiva proattiva e progettualità.

La domanda cruciale è diventata: cosa potrebbe accadere e come posso ridurre il rischio e le conseguenze al minimo?

Valutazione del rischio aziendale: dalla protezione dei dati alla protezione di persone e beni.

In questo contesto si crea un’interessante parallelismo con la sicurezza fisica dei beni e delle persone. Il passaggio che, seppur obbligatorio, le aziende stanno facendo per la protezione dei dati personali, e la cyber security più in generale, può essere applicato anche nel contesto della sicurezza aziendale in ambito di protezione di beni e persone.

Il Risk Management, o valutazione del rischio, è sempre esistito nell’ambito della Safety e Security, ma è stato tradizionalmente trattato a posteriori, cioè in risposta agli eventi accaduti. Questo articolo si propone di presentare una visione positiva di questa evoluzione, trasformando il processo in una Best Practice da adottare anche nel campo della sicurezza aziendale per mitigare furti, incendi, rapine, eventi ambientali, accessi non autorizzati e altro ancora.

Valutazione e trattamento del rischio aziendale.

Ma come si valuta il rischio e il relativo trattamento nell’ambito della sicurezza aziendale?

Per prima cosa la valutazione del rischio aziendale è data:

• dalla probabilità di accadimento di un evento (furto, incendio, terremoto, ecc.) che viene valutata secondo criteri quali: appetibilità del bene e vulnerabilità rispetto alle minacce;
• dall’impatto di tale evento in termini: economici, di responsabilità e penali.

Individuato il grado di rischio, la sua gestione o trattamento del rischio, agisce sulle seguenti variabili:

1 – la riduzione del rischio tramite: la riduzione dell’impatto o la riduzione della probabilità;

2 – l’eliminazione del rischio, quando è possibile azzerarlo;

3 – il trasferimento del rischio in termini assicurativi;

4 – l’accettazione del rischio.

Se nell’ambito della protezione dei dati, il GDPR consente al titolare del trattamento solo la riduzione al minimo del rischio – in quanto la responsabilità è dei soggetti terzi, ovvero le persone fisiche – nell’ambito della sicurezza aziendale, il proprietario dell’impianto, dell’immobile o del bene da tutelare, non ha obblighi di legge specifici per l’analisi del rischio, ad esclusione dell’ambito antincendio, dove deve rispettare norme di prevenzione incendi e vari decreti in materia sicurezza che vanno a prevenire e ridurre il rischio.

Nel prossimo articolo sulla “Valutazione del rischio in ambito Security”, esamineremo i rischi specifici e le strategie per ridurli o eliminarli grazie all’installazione e all’interazione tra impianti antintrusione, videosorveglianza, rilevazione e spegnimento incendio e controllo accessi.