EXECUTIVE HEAD HUNTER & SECURITY COMPETENZE E MERCATO White Paper – Survey Novembre 2012 ASIS ITALY CHAPTER 14/11/2012
BENVENUTO
Prima di tutto vorrei iniziare con un caloroso saluto a tutti gli Associati e ai lettori di questa prima pubblicazione di Asis Italy Chapter. Abbiamo definito un piano triennale di survey su argomenti ritenuti particolarmente significativi per accrescere la consapevolezza e il dibattito tra i professionisti del settore sicurezza. Uno degli obiettivi che si è posto il Chapter è quello di esplorare nuovi sentieri e sinergie con
attori che storicamente non sono vicini al nostro mondo
professionale. L’ esplorazione ha come fine ultimo quello di condividere e integrare i diversi punti di vista e professionalità per approfondire tematiche di interesse comuni, e sortire un arricchimento culturale comune. Il tema scelto per la prima pubblicazione “ Executive Head Hunter & Security – Competenze e Mercato “ è stato ritenuto particolarmente interessante per aiutare a comprendere e descrivere le diverse sfaccettature che compongono le professionalità che un Chief Security Officer esprime durante l’espletamento delle sue funzioni. Grazie alla fattiva collaborazione di diversi Associati e amici che operano da diversi anni nel settore è stato possibile raccogliere tutta una serie di indicazioni di seguito raccolte e sintetizzate. Un caro saluto
Genseric Contournet (PRESIDENTE ASIS ITALY CHAPTER)
ASIS ITALY CHAPTER
Asis International, ha da più di mezzo secolo come obiettivo statutario lo sviluppo della professionalità degli esperti di sicurezza, attraverso la promozione di corsi e programmi di formazione, producendo materiale informativo e didattico di interesse nel campo della sicurezza e organizzando cicli di seminari e incontri su tematiche di comune interesse. Fondata nel 1955, Asis International è la maggiore organizzazione di professionisti della sicurezza a livello planetario, con oltre 39mila iscritti nel mondo, più di 200 “chapter” nazionali (capitoli, ovvero filiali) L’organizzazione si adopera per sostenere e valorizzare il ruolo della sicurezza nel mondo produttivo, dei media, degli organismi governativi e del pubblico in generale puntando allo sviluppo della cultura della collaborazione tra pubblico e privato nell’ambito della sicurezza. Il capitolo italiano (Chapter 211) ha oltre 80 iscritti, che rappresentano sia primarie aziende nazionali o multinazionali in Italia, sia un certo numero di società di investigazioni private ed alcuni rappresentanti di enti governativi. Il Consiglio Direttivo è formato da 7 membri Italiani più 2 supervisori di area e si riunisce ogni mese in Milano. Tra i progetti congiunti tra ASIS Italia ed Europa (Bruxelles) stanno lavorando per l’uniformare il più possibile gli standard internazionali con la normativa europea ISO EN e quella Italiana UNI al fine di ottenere parametri di certificazione e audit per le aziende di sicurezza.
IL PROGETTO
Il presente progetto nasce dalla volontà dell’Associazione di affrontare ed analizzare specificatamente il tema delle convergenze che esistono tra le competenze del Security Manager (hard e soft skill) e i processi di recruiting gestiti dai top head hunter. La Survey è stata realizzata grazie alla partecipazione degli associati che hanno aderito, di numerose società esterne e dei Security Manager e CSO che ci hanno gentilmente supportato nell’identificazione dei key driver ritenuti strategici sia a livello di funzione che a livello di competenze.
Il risultato del lavoro di ricerca si indirizza su due assi principali, il primo riguarda gli aspetti organizzativi, lo scopo principale è stato quello di definire quali sono le dipendenze ottimali in organigramma e la struttura dei rapporti con le altre funzioni chiave. Si sono volute approfondire contestualmente le esigenze, gli ostacoli e le percezioni che il CSO incontra durante lo svolgimento del suo ruolo.
Il secondo asse d’indagine ha invece come focus le competenze e i percorsi formativi che un CSO deve possedere, aspetto cardine della nostra professione cercando di creare una mappatura degli skill (hard e soft) e dei percorsi formativi di carriere ritenuti più idonei da parte dei partecipanti. Il presente lavoro rappresenta un “work in progress” che verrà aggiornato con approfondimenti mirati e reso disponibile on line.
Roberto De Sortis (COMUNICAZIONE & FORMAZIONE)
INTRODUZIONE
Per comprendere a fondo il mosaico di competenze e relazioni che definiscono e caratterizzano la funzione “security” e i suoi vertici è necessario partire dall’evoluzione storica subita dalla funzione e dal cambio degli scenari di riferimento. I temi e le minacce cui siamo chiamati a rispondere sono sempre più complessi e si palesano in scenari organizzativi articolati, mutevoli e sempre più pervasi da tecnologie sofisticate. Tutto questo aggravato dal dover gestire esigenze di business che impongono di essere sempre più proattivi con tempi di reazione sempre più stringenti e con un elevato livello di efficienza economica. Il background su cui la “cultura” e le esperienze della funzione security si sono sviluppate risalgono però ad un periodo ben antecedente, dal dopoguerra fino alla fine degli anni 70 gli obiettivi primari della funzione security erano quelli della tutela dei segreti industriali da parte di attività di intelligence straniere, (siamo nel periodo della contrapposizione dei blocchi tra Est e Ovest, del contrasto alle infiltrazioni terroristiche, come la minaccia costituita dalle Brigate Rosse e alla protezione fisica degli asset aziendali e delle persone). In questo periodo nasce la figura del Security Manager che deve avere un solido background relativo alla sicurezza operativa e alle attività di intelligence e counter intelligence classiche, profilo professionale che viene ricercato quasi esclusivamente negli ambiti delle forze dell’ordine e dell’intelligence nazionale. Durante gli anni 80 le esigenze cominciano ad essere più complesse, abbiamo i primi fenomeni relativi alle frodi perpetuate dai white collar crime e con l’avvento degli elaboratori elettronici e i CED inizia a prospettarsi la necessità di implementare un livello di sicurezza logica. Dagli anni 90 ad oggi abbiamo un’amplificazione esponenziale delle tecnologie e delle capacità di comunicazione, gli scenari di rischio pertanto si sono arricchiti delle tematiche relative alla competitive intelligence, alla tutela degli asset immateriali e alla brand protection. Notate, inoltre, che traccia di questi cambiamenti e di questa progressione la riscontriamo nell’evoluzione della giurisprudenza di riferimento.
LE SFIDE DEL SECURITY MANAGER OGGI
L’identità, il ruolo e le responsabilità di un CSO sono come abbiamo visto in costante evoluzione. Partendo dall’ assunto ampiamente condivisibile che la funzione security è a supporto del business e dei suoi processi specifici per proteggerli efficacemente dalle minacce che di volta in volta si palesano, oggi ci troviamo nella situazione in cui le “vecchie minacce” si muovono sia in modo “tradizionale” (pensiamo alle classiche problematiche di loss prevention) sia attraverso vettori tecnologicamente avanzati, (oggi parliamo sempre più comunemente di attività di intelligence su fonti aperte – OSINT o
info war) dove sempre più spesso
l’estrinsecazione del danno a volte parte da minacce che attaccano asset assolutamente “Intangibles”, ma si estrinseca su assetti tangibili. Diventa pertanto sempre più necessario integrare i due aspetti della Security e avere un approccio olistico alla gestione della sicurezza all’interno dell’organizzazione. Il diagramma radar evidenzia come oltre le minacce classiche, il CSO si confronta oggi con problematiche globali, con minacce derivanti dagli assetti geopolitici, dalla situazione finanziaria globale e dall’assottigliamento dei margini aziendali che accentuano fenomeni di concorrenza sleale. A questo dobbiamo aggiungere la sempre maggior richiesta da parte delle istituzioni del rispetto dei requisiti di conformità e la necessità delle aziende di tutelarsi dai rischi di compliance e reputazionali che possono avere gravi conseguenze per la sopravvivenza del business aziendale. Il CSO oggi, deve pertanto confrontarsi con una molteplicità di fattori di rischio che richiedono, per essere individuati e gestiti correttamente, un approccio multidisciplinare e competenze specifiche. E’ interessante notare come nel tempo la sensibilità aziendale si sia sempre di più evoluta verso la prevenzione dei rischi che possono intaccare gli intangibles asset e il brand value.
LA FUNZIONE SECURITY Tra i primi punti che la survey ha voluto approfondire c’è quello dell’assetto organizzativo in cui il CSO si muove. Per quanto la vasta letteratura in materia di organizzazione sia abbastanza chiara nel definire il CSO come un “manger C-level” e quindi, gerarchicamente dipendente dal vertice aziendale (CEO, DG o Board) sono state riscontrate diverse e importanti variazioni sul tema. Mentre tutti gli intervistati hanno identificato, in un “funzionigramma ideale” una dipendenza con la Direzione Generale come ottimale per essere efficaci la realtà ha evidenziato una ripartizione abbastanza variegata descritta nel grafico seguente:
DIREZIONE PERSONALE 10%
DIREZIONE FINANZIARIA 10%
DIPENDENZE GERARCHICE CSO CHIEF INFORMATION OFFICER 30%
DG 50%
Come si può osservare dal grafico sussistono ancora notevoli incomprensioni da parte delle aziende sulla corretta allocazione di responsabilità e linee di riporto. Queste collocazioni “alternative” sono quelle che evidenziano (nella survey) un livello di conflittualità e difficoltà di dialogo e comprensione maggiore all’interno dell’azienda. In particolare emergono soventi problemi di chiarezza di ruoli, spesso in conflitto con quelli della funzione ICT o strategie di approccio globale.
PERCEZIONE E FLUSSI INTERFUNZIONALI La funzione di Security è storicamente considerata, dai non addetti ai lavori, un mero centro di costo e spesso percepita come un “freno” ad alcune iniziative di business. Ponendosi senza preconcetti iniziali ci siamo posti tra gli obbiettivi della survey quello di iniziare a creare una cartografia e misurare le “distanze” che caratterizzano la nostra funzione nei confronti delle altre strutture aziendali e, al contempo, identificare i principali ostacoli affrontati durante lo svolgimento delle proprie mansioni in relazione con gli altri C-level manager. Come primo risultato, non esaustivo, si è cercato di creare una “mappa relazionale” corredata da metriche quantitative e renderla in formato grafico attraverso la rappresentazione sottostante.
E’ interessante notare che il grafico, oltre a confermare gli stretti rapporti tra le funzioni apicali e il CSO, evidenzia due dinamiche spesso riscontrante nelle esperienze aziendali: una pressoché equidistanza con le funzioni operative e una “notevole” distanza con le funzioni di creazione e gestione del valore economico e finanziario dell’azienda. Rispetto a questa metrica è importante evidenziare due aspetti, il primo che proprio in un momento storico come quello attuale, in cui le tematiche di efficienza e cost saving hanno un’importanza assoluta, è necessario per il CSO acquisire il linguaggio e la forma mentis necessarie ad interagire e supportare in maniera efficace le funzioni finanziarie (CFO). In particolare un tema ritenuto sempre più strategico è quello della protezione degli intangibile assets e della reputazione, aspetti che proprio coinvolgono le funzioni che
nella mappa prima disegnata coinvolgono proprio le funzioni che storicamente risultano più “lontane” dal CSO. Queste distanze comunicative si riflettono sulla percezione che gli altri stakeholder hanno della nostra funzione. Cito tra le diverse risposte simili quella di un collega alla domanda: “Come percepisce il suo ruolo all’interno dell’organizzazione?” risponde: “…. Sebbene CSO operi prevalentemente con l'obiettivo di semplificare, ottimizzare e migliorare i processi per consentirne una più efficiente messa in sicurezza, le altre linee di business lo vedono ancora come una scocciatura che rallenta ed ostacola i processi di business ormai consolidati e fa perdere tempo con diverse attività, come le interviste, le analisi, le politiche e le analisi dei rischi ….”. Per aiutare una migliore comprensione reciproca il CSO deve necessariamente compenetrare tutte le funzioni aziendali con un approccio cliente – fornitore ponendosi come un competence center. Tra le diverse interazioni emerse possiamo per esempio citare:
condivisione con gli Affari Legali per tutti i risvolti inerenti le cause e rapporti con autorità giudiziarie e di polizia;
condivisione con le risorse umane per le attività di Security Awareness, Training e Education;
condivisione con la Direzione Finanza per la valutazione quantitativa dei rischi;
condivisione con la Direzione Operativa per politiche, guideline, best practice e procedure;
Per sviluppare queste interazioni è necessario che tra i diversi soft skill del CSO vengano privilegiati e potenziati quelli relativi alla comunicazione anche in funzione della sempre maggior richiesta di integrazione interfunzionale richiesta per risolvere problematiche complesse.Una buona comunicazione e una partecipazione maggiormente condivisa porta da una parte al superamento di tutta una serie di limiti e percezioni dall’altra a guadagnare un posizionamento strategico e di contenuti maggiore. Tra le azioni ritenute più idonee per l’empowerment del ruolo sono state quindi identificate pressoché all’unanimità:
la ridefinizione e un corretto inquadramento giuridico e professionale della figura professionale;
un dialogo continuo e conferme dell’importanza del ruolo dato dall’Alta Direzione
LE COMPETENZE DEL SECURITY MANAGER Per consentire all’organizzazione di raggiungere gli obiettivi di efficienza e comprensione sopra esposti credo sia necessario risolvere un problema di tipo “tassonomico”che caratterizza la nostra professione. ossia di classificazione delle professionalità e delle competenze presenti nell’universo Security e che più debbano caratterizzare la figura del CSO. Oggi non esiste una classificazione univoca e condivisa sul profilo che il CSO deve possedere, situazione che porta ad identificare skill più o meno estesi a seconda dell’approccio proposto dalle diverse Associazioni di categoria o Enti di certificazione delle competenze. Prendiamo proprio il ruolo del Security Manager e proviamo a scomporre il significato per darne alcune interpretazioni e dimostrare come dietro ad un semplice termine, di uso comune, si celino una serie di ambiguità. il termine Security si presta a un interpretazione ampia soprattutto in Italia infatti tende ad integrare nella traduzione sicurezza vs security i concetti anglosassoni di, safety (sicurezza sui luoghi di lavoro), sicurezza industriale (sicurezza ad degli asset industriali ad ampio spettro, comprensive delle attività di fraud auditing) , di sicurezza e riservatezza delle informazioni con tutte le sue declinazioni tecnologiche. Oggigiorno si tende inoltre ad arricchire il concetto anche della valenza di Risk Management, che a sua volta rappresenta un altro dominio di competenze specifiche. Già il primo termine apre quindi il problema di comprendere e condividere qual è il perimetro di hard skill che il CSO – Security Manager deve possedere e fa intuire la complessità organizzativa e operativa che sottende la funzione e che spesso non viene ben compresa dalle altre funzioni aziendali per un oggettiva problematica di interpretazione. Il termine Manager, dovrebbe teoricamente essere più facile da interpretare, deriva dall’inglese “to manage” che vuol dire gestire coordinare. La capacità e l’efficacia gestionale” dipende dalle doti di leadership e organizzative personali del manager e congiuntamente da come la funzione è strutturata all’interno dell’organizzazione, degli strumenti messi a disposizione e da come sono allocate le responsabilità, i budget e le deleghe. L’efficacia complessiva è inoltre subordinata alla capacità di “comunicazione” del CSO, ossia la sua adattabilità nell’apprendere e parlare le diverse lingue aziendali interpretando in maniera concreta le reali esigenze dei diversi stakeholder coinvolti. L’analisi ha voluto identificare la percezione del tipo di competenze che un CSO deve possedere identificando (correttamente) la necessità di possedere competenze
generalisti che per poter affrontare e gestire un vasto spettro di situazioni. La survey ha identificato prima un pannel di competenze ritenute essenziali nel bagaglio del CSO e poi ha cercato di darle una priorità. E’ stato interessante notare come si evidenzi,
in
maniera
pressoché
unanime, la necessità primaria per il CSO di possedere una visione “legal” delle proprie attività. Questo aspetto è
stato
decisamente
posto
all’attenzione anche da una serie di eventi passati che hanno gettato discredito sulla nostra professione e hanno evidenziato i limiti del vecchio paradigma con cui veniva “venduta” la nostra professionalità. Seguono a stretta distanzia le competenze di Risk Management, competenze che richiedono delle “technicalities” specifiche e una capacità analitica che deve garantire al contempo profondità e chiarezza, analisi che devono essere strutturate secondo rigidi canoni. Gli skill legati alla capacità di comprendere, descrivere e analizzare (in ottica security) i processi di business, la conoscenza dei principali framework manageriali e i vincoli etici caratterizzano poi la graduatoria seguiti dagli aspetti prettamente tecnici.
In conclusione, questo specifico item analitico, dovrebbe, se condiviso evidenziare chiaramente quali siano gli assi principali su cui agire durante le fasi di valutazione e/o definizione delle job description funzionali.
PERCORSI FORMATIVI & SOFT SKILL Nei paragrafi precedenti si è cercato di definire le competenze ritenute essenziali per poter svolgere al meglio la propria professione e relazionarsi in maniera efficace con le altre funzioni aziendali. Si è voluto successivamente approfondire il concetto cercando di identificare il background ritenuto più idoneo per lo svolgimento della mansione e i relativi soft skill che devono far parte del bagaglio culturale e comportamentale del CSO. Ovviamente
come
professioni
le
per
sole
tutte
le
competenze
acquisite durante i percorsi accademici non
sono
ovviamente
condizione
sufficiente per affrontare in maniera esaustiva l’analisi
le ha
varie
problematiche,
comunque
identificato
alcuni percorsi come elegibili rispetto ad altri. Coerentemente con quanto emerso durante la fase di identificazione delle competenze un percorso accademico caratterizzato da studi giurisprudenziali viene considerato premiante rispetto a studi più tecnici. E’ interessante notare come in seconda posizione vengano identificati percorsi post diploma specifici, probabilmente per una mancanza nel panorama didattico universitario di corsi di laurea specialistici (se non a livello di master o corsi di alta formazione). Qualunque sia il percorso emerge chiaramente dalla survey l’esigenza di un aggiornamento continuo e un processo di misurazione e certificazione delle competenze acquisite durante i vari corsi specialistici. Attualmente esistono diversi schemi certificativi delle competenze, sia a livello nazionale che internazionale, che cercano di fornire un quadro di riferimento Il percorso esperienziale di un CSO deve obbligatoriamente portarlo a maturare ed acquisire una serie di soft skill per potergli permettere di comunicare correttamente il proprio valore verso tutti gli stakeholder.
Oltre alle doti di pro attività che caratterizzano la funzione
la
survey
evidenzia
come
sia
indispensabile per un CSO avere elevate doti di leadership e una buona capacità di delega per garantire coerenza di azione e tempi di reazione
inoltre
Negoziazione Team building Gestione dei conflitti
e risoluzione rapidi. Emerge
Gestione della delega…
che
oltre
alle
capacità
Capacità di coordinamento
caratterizzanti la funzione (ad esempio la capacità di gestione dei conflitti) si rende sempre più necessario per un CSO avere tutti i mezzi e le
Doti relazionali Pensiero laterale
capacità per essere un efficace comunicatore sia nei confronti delle funzioni interne che degli
[Elaborazione Roberto De Sortis - ASIS ITALY CHAPTER]
stakeholder esterni all’organizzazione. L’esperienza dimostra che è sempre più richiesto al CSO una capacità di interloquire a livello finanziario e una capacità di modulazione per essere certi che i messaggi scambiati con le altre funzioni siano correttamente compresi e metabolizzati.
PERCORSI DI CARRIERA La survey evidenzia ad ex equo che per i CSO Altro comparto aziendale con maggiori criticità
oggi sarebbe preferibile ricercare un collega
Stesso comparto aziendale
rappresenti maggiori criticità o dallo stesso
proveniente da un comparto aziendale che
comparto (scelta che probabilmente riterrei Ex Forze dell'ordine
più sensata per la conoscenza dei processi di business già acquisita). In seconda istanza
Studi Legali
vengono
preferite
figure
professionali
provenienti dalle forze dell’ordine. Rispetto poi all’esigenza di avere maggiori competenze legate all’ambito legale personale proveniente esclusivamente da esperienze legali è ritenuto meno interessante.
LA DICOTOMIA CSO vs CISO Un aspetto emerso e ritenuto particolarmente interessante dalla survey è quello rappresentato dalla apparente dicotomia esistente nella definizione delle funzioni CSO vs CISO e nella differenza d i competenze che caratterizza le due funzioni. Contrariamente a quanto pensato inizialmente l’analisi evidenza che la dicotomia tra le due funzioni accade più spesso di quanto supposto inizialmente e al contrario di quanto definito dalle best practice organizzative.
Quello che emerge è che prima di tutto si deve
essere in grado di instaurare una
relazione win‐win in quei contesti aziendali in cui la funzione di CSO e di CISO non hanno rapporti gerarchici diretti e in cui i rapporti funzionali sono in qualche modo mediati da uomini e direzioni forti. In questi casi infatti si nota un’ amplificazione delle differenze di background e le sinergie sui progetti diventano spesso un occasione di conflitto per allocarsi il budget. Influiscono in questo caso le relazioni instaurate a monte con il CEO e il CFO che diventano de facto i decision maker per quanto riguarda la sensibilità a certe tematiche di rischio e l’allocazione delle risorse. Interpolando poi i dati relativi alle competenze dei CSO con quelle che i CISO dovrebbero possedere si nota come alcuni aspetti prettamente specialistici siano di competenza dei CISO, mentre possiamo identificare alcuni importanti punti di convergenza circa le capacità di identificare e misurare correttamente i rischi, la capacità di analizzare la sicurezza in ottica di processo (specifico) e la necessità di avere una chiara comprensione del perimetro legale entro cui si muove.
Risulta invece meno chiaro la differenza rilevata circa le attività di Disaster Recovery e
Business Continuity che
apparentemente prevalentemente funzione CISO.
risultano appannaggio
della
CONCLUSIONI L’evoluzione della complessità nei processi di business richiederà sempre più alla funzione “Security” capacità manageriali interattive, adattative e analitiche, con l’esigenza di dialogare e di integrarsi con le altre funzioni di staff per garantire una protezione efficiente del business a 360°. Il CSO dovrà sempre di più essere in grado di creare un vero valore aggiunto chiaramente percepito dal vertice aziendale e dalle diverse line of business e per far questo deve essere dotata delle risorse e degli strumenti gestionali adeguati. Deve inoltre dotarsi della capacità di misurare in maniera chiara ed efficace le proprie performance operative e la propria capacità di proteggere il valore dell’azienda. Per far questo è essenziale acquisire quelle competenze che ci permettano di delineare strategie di protezione proattiva dell’Azienda che siano in linea con le esigenze di business e che siano comunicate anche attraverso estesi programmi di security awarness aziendali.
RINGRAZIAMENTI Un caloroso ringraziamento a tutti i partecipanti alla Survey che con le loro preziosi indicazioni ci hanno permesso di completare questa Survey. Un particolare ringraziamento da parte di tutto il direttivo ASIS al nostro sponsor Digitronica.IT che ci ha permesso di organizzare la survey e l’evento di Novembre.
Digitronica.IT è una software company creativa e innovativa, il partner ideale per la soluzione dei problemi di sicurezza fisico-logica delle imprese. Nata nel 2004 a Verona, con attività in tutta Italia, ha una storia di successo ed è in costante espansione. Grazie alla sua competenza si è affermata come leader nel mercato della Security e nell’integrazione di applicazioni anche nei più complessi ambienti aziendali. Digitronica.IT crede nell’innovazione e nell’eccellenza, e ricerca elevati standard nella qualità del servizio: ha sviluppato e aggiorna costantemente una suite di soluzioni per la sicurezza, puntando a farla evolvere insieme alle esigenze dei clienti, per i quali adotta le più avanzate tecnologie di sicurezza fisica e logica, creando sistemi di controllo per i bisogni del cliente, se necessario anche con soluzioni su misura. Digitronica.IT agisce come un consulente integrato per la Security globale dell’azienda: non fornisce solo hardware, prodotti, software o sistemi gestionali, ma propone le idee e le soluzioni più adeguate per ogni esigenza. Così a partire dalla ricognizione dei pericoli mette l’azienda totalmente al riparo, scegliendo i prodotti e gli applicativi più adatti