image

Dalla Security all’Intelligence: cambiare una funzione per renderla più che necessaria

Dal costo all’investimento

Si tende oggi a pensare che la sicurezza, e in particolar modo la security aziendale, debba essere veicolata attraverso il terrore, l’obbligo di legge, e quindi, pur comportando questo il mettere a budget, da parte delle aziende, dei costi per la security, fa leggere la stessa come spesa e non come investimento (e in questo le responsabilità di molti colleghi consulenti e Security Manager sono a dir poco importanti). Nell’ottica dello sviluppo di un’azienda (e quindi di un sistema locale e nazionale) sicura, se anche l’impresa e la governance comprendessero l’importanza della sicurezza in relazione alla responsabilità di tipo civile e penale, ciò muoverebbe la situazione solo di un centimetro verso il miglioramento, e questo perché quanto fin’ora detto determina, sempre e comunque, solo quello che è l’approccio alla sicurezza come “difesa” dell’impresa; un obbligo, insomma, un custode, una guardia, necessaria, nel suo ruolo difensivo, per evitare perdite. Ma lo scopo di un’impresa non è evitare le perdite, bensì, semplificando e volgarizzando, guadagnare. Questo lo si può fare in maniera etica o meno, responsabile o meno, ma in tutti i casi sempre di guadagnare si tratta, e la security come funzione aziendale dovrebbe facilitare questo obiettivo, non ostacolarlo.

Tuttavia il mondo, nell’ultimo mezzo secolo, è diventato molto più complesso. Fare impresa oggi significa inserirsi in un contesto stratificato, in cui non si possono evitare, in nessun modo, gli snodi fondamentali della società, quindi il generale concetto di stakeholders. Oggi un’impresa che guarda solo agli shareholders e non al restante contesto in cui è immersa rischia di implodere, o comunque di ricevere devastanti battute d’arresto, che siano per un rapimento, per una speculazione, per una comunicazione inefficiente, per un’incapacità di cambiare e molto altro. In un contesto, o meglio, in simili contesti complessi su livelli molteplici, la Sicurezza deve fare una salto di qualità e trasformarsi. Essa da micro funzione periferica di difesa,  deve diventare una imprescindibile funzione di supporto al business, facilitatrice del governo di ogni tipo di rischio, e soprattutto, ente in grado di individuare non solo le minacce, ma anche le opportunità.

I presupposti per ottenere un simile cambiamento sono due:

-Integrare una funzione di Intelligence;

-Ampliare le proprie competenze a 360°.

Conoscenze, strumenti e strategie: il pensiero critico prima di tutto.

Cominciamo dalla questione competenze. A tal fine è necessario rivedere quali dovrebbero essere le responsabilità e il campo d’azione di colui che, nell’impresa, si occupa della sicurezza a 360°. Qui, necessariamente, la comunità interessata degli specialisti deve ampliare i propri orizzonti. Già uscire dall’ottica ristretta della “difesa” e dell’”investigazione” sarebbe un buon primo passo. Usciamo dalla storia della Sicurezza Aziendale tipicamente italiana ed entriamo nella visione che hanno sempre di più all’estero: una corporate del terzo millennio è un attore geopolitico al pari degli stati nazionali e delle organizzazioni internazionali, e al pari di questi può essere di diverse dimensioni. Poco ci interessa quindi, per esempio, il fatturato: può essere di 100 milioni come di miliardi di euro, in quanto da questa dimensione non deriva necessariamente il contesto (nazionale o estero, a basso o alto rischio, etc.) in cui l’impresa è inserita. Ciò che più ci interessa è che qualsivoglia contesto è oggi necessariamente esposto a rischi di ogni tipo che non possono essere limitati né a quelli inerenti il campo della safety, né a quelli meramente finanziari. Ogni azienda è oggi cioè inserita in un sistema dinamico e complesso che tende a sviluppare a sua volta rischi, minacce e opportunità complesse, la cui lettura necessita sia un nuovo approccio, sia nuove competenze. L’impresa vista come attore esposto alla complessità dei contesti inevitabilmente richiede un dispositivo che si occupi della sua sicurezza in ottica strategica, capace di:

A) prevedere nuove minacce, non solo di difenderla da quelle conosciute;

B) individuare le opportunità, non solo i rischi intesi in ottica negativa;

C) definire gli ambiti di esposizione al di là della sola sicurezza fisica (tutela dei marchi, della reputazione, della comunicazione, del know how, dei sistemi informatici, etc.);

D) supportare la governance strategica con opportuni meccanismi informativi che guardino anche e soprattutto al futuro meno prossimo.

 

Sulla carta potrebbero sembrare evoluzioni semplici, ma in realtà sottintendono una rivoluzione nella funzione; se volessimo rimanere nell’ambito delle metafore, per così dire, “istituzionali” da dove provengono molti colleghi, allora dovremmo parlare di passaggio dal modello della sicurezza vecchio stile, ereditato da una visione fortemente legata alle FF.OO., a quello di una visione di tipo strategico interforze, cioè simile alla funzione della “Branca 2” nell’ambito degli Stati Maggiori delle FF.AA., generalmente definita come Intelligence e sicurezza delle forze o Informazioni e sicurezza. Non è un caso che a livello operativo tale branca si occupi prima di definire, attraverso le proprie competenze informative, la “situazione”, cioè di restituire ai decisori una immagine del contesto in cui l’unità opera, diventando a tutti gli effetti gli organi di senso di chi governa, e solo successivamente della sicurezza delle forze.

Ça va sans dire, si tratta di anteporre al concetto di “sicurezza” il concetto di Intelligence, al fine di apportare un cambiamento solo apparentemente superficiale, che porterebbe l’attuale funzione di sicurezza a essere uno dei centri nevralgici dell’attore, nel nostro caso l’impresa, permettendo a esso di operare nel migliore dei modi: non più un obbligo di legge, una difesa o un guardiano, ma una funzione che faccia da facilitatore del business, tutelandolo e cogliendone le possibilità di sviluppo, portando la funzione a essere veramente apicale e, auspicabilmente, in diretto contatto con chi l’impresa la dirige strategicamente.

Per arrivare a tale risultato, dietro la funzione serve un’opera monumentale basata sul pensiero critico, unica “metodologia” capace di sviluppare un dispositivo che si aggiorni in maniera dinamica, fluida e costante con l’evolvere (oramai rapidissimo) dei contesti e della complessità che questi contraddistingue. Una metodologia, quindi, innanzi tutto mentale, basata sulla capacità del personale di non accontentarsi dell’esperienza pregressa, ma abile a:

A) identificare gli elementi portanti di un caso/fatto, in particolare motivazioni, conclusioni, conseguenze;

B) identificare e valutare, in ogni campo, presupposti e supposizioni;

C) chiarire e interpretare fatti, idee, opinioni, in maniera critica;

D) giudicare l’ammissibilità e in particolare la credibilità delle affermazioni;

E) valutare argomentazioni di ogni tipo;

F) analizzare, valutare, produrre argomentazioni operative e strategiche;

G) analizzare, valutare e prendere decisioni sulla base delle argomentazioni citate;

Capacità apparentemente scontate, ma che tali non sono[1]. Soprattutto quando si tratta di produrre valutazioni e analisi di tipo strategico predittivo, tali capacità devono essere supportate da una pletora di competenze e conoscenze che raramente – oggi – sono a disposizione delle funzioni (se non altro, per la mancanza di budget).

Ancorché rivolto alla figura dell’analista strategico o esperto in politiche pubbliche, lo studio di Philip E. Tetlock sulle capacità degli analisti[2] ben si colloca nel nostro argomento: in esso si definisce come le volpi siano più adatte dei ricci a valutare le conseguenze future di eventi, azioni e politiche complesse. Tetlock parte infatti dalla definizione di due tipi umani effettuata da Isaiah Berlin, invero le volpi, che potremmo dire essere i “generalisti” capaci di condurre un approccio multidisciplinare all’analisi, e i ricci, gli “esperti” di una singola disciplina o specifica sub-disciplina[3]. Sulla scorta delle medesime riflessioni, possiamo dire che la funzione può essere sviluppata solo grazie all’innesto di nuove competenze e conoscenze che vanno ben al di là delle tradizionali esperienze legate alla sicurezza e all’investigazione, poiché, come ha giustamente scritto Caligiuri, facendo proprie molte riflessioni di Beck:

“Chiunque voglia analizzare il mondo attuale, si trova davanti a scenari del tutto inediti, che rompono i paradigmi interpretativi precedenti. Ci sono nuove domande che attendono risposte altrettanto innovative, come ogni volta che si modificano le prospettive. […] Quella che viene da più parti definita come società dell’informazione, sembra in realtà andare verso la sua antitesi: la disinformazione, ove il paradosso si completa pensando che la la fonte di pericolo oggi, non è più l’ignoranza ma la conoscenza”[4].

Concludendo: sicurezza come approccio olistico e formazione dei giovani.

Le risposte di cui sopra, tutt’altro che facili o scontate, non possono provenire da un’esperienza granitica, soprattutto se facciamo nostro l’assunto inerente la complessità dinamica dei contesti moderni.

Ponderare l’imponderabile, questo dovrebbe essere, oggi, il mestiere della sicurezza. Per tentare di farlo al meglio (perché alla sicurezza, come all’intelligence, è connaturato il fallimento, e perciò ad esse la perfezione è preclusa) non basta la giusta disposizione fondata su un approccio olistico e multidisciplinare alla materia: serve innestare nuove energie, nuove risorse, nuove competenze. L’attuale trend è l’iperinformatizzazione della sicurezza, tra Intelligenza Artificiale e Cybersecurity. Ecco, dobbiamo da subito capire che questo è insufficiente, soprattutto se diviene un approccio esclusivo. La complessità, i contesti, sono fatti di persone e di comportamenti: per quanto possa avere il miglior software a proteggere il mio sistema, questo sarà comunque sempre soggetto ai comportamenti delle persone. Non possiamo ridurre la sicurezza, come molto altro, a un approccio puramente informatico, analitico, numerico, quantitativo. Al contrario, la sicurezza deve fare proprio il metodo della complessità:

“Bisogna rinunciare a ridurre analiticamente il fenomeno nelle sue pieghe o fili, e concentrarsi nella comprensione dell’intero sistema, considerato nel suo insieme come qualcosa di indivisibile. Metodologicamente è necessario un salto di piano: da quello analitico dove si pone il problema a quello sintetico dove si trova la soluzione, guardando il sistema dall’alto. La soluzione è comprendere il complesso nel suo insieme. […] Il complicato può essere condensato in un’equazione, ma il complesso può essere solo raccontato”[5].

Ne consegue che le competenze fin’ora utilizzate nel settore non sono sufficienti per fare il salto di qualità. Se da una parte servono l’innovazione tecnologica e, conseguentemente, esperti di settore (i ricci di cui sopra), dall’altra servono le volpi, e queste sono ben più difficili da trovare. La domanda è se gli attuali ambiti formativi, quali i master universitari in security e intelligence, o le certificazioni specifiche di ambito, siano sufficienti a trovare le competenze giuste. Domanda cui non si può rispondere sulla breve distanza, dato che tali iter formativi sono in funzione relativamente da poco. Vale dunque la pensa chiedersi, più specificatamente, se in essi vengano convogliate sufficienti competenze utili a decifrare i contesti in cui un potenziale decisore o analista della sicurezza aziendale potrebbe trovarsi. Quanto può essere utile un corso sull’Open Source Intelligence e la Social Media Intelligence, se de facto non si ha dimestichezza con i diversi processi culturali in atto in opposti contesti geografici come potrebbero essere l’Europa, il Nord Africa e l’Africa sub sahariana?

Bibliografia

Antiseri, D., Soi, A., Intelligence e metodo scientifico, Rubettino, Soveria Mannelli 2013.

Caligiuri, M. (a cura di), Intelligence e scienze umane, Rubettino, Soveria Mannelli 2016.

De Toni, A.F., Comello, L., Viaggio nella complessità, Marsilio, Venezia 2007.

Fisher, A., Critical thinking, Cambridge University Press, Cambridge 2007.

Moore, D.T., Critical thinking and Intelligence analysis, National Defence Intelligence College, Washington, DC, 2007.

Tetlock, P.E., Expert political judgement, Princeton University Press, Princeton 2005.

Nichols, T., La conoscenza e i suoi nemici – l’era dell’incompetenza e i rischi per la democrazia, Luiss, Roma 2017.

Note

[1] Un’ampia analisi circa la mancanza nei più disparati settori di tali capacità è in T. Nichols, La conoscenza e i suoi nemici – l’era dell’incompetenza e i rischi per la democrazia, Luiss, Roma 2017.

[2] P.E. Tetlock, Expert political judgement, Princeton University Press, Princeton 2005.

[3] Cfr. I. Berlin, Il riccio e la volpe e altri saggi, Adelphi, Milano 1986.

[4] M. Caligiuri (a cura di), Intelligence e scienze umane, Rubbettino, Soveria Mannelli 2016, pagg. 8-9.

[5] A.F. De Toni, L. Comello, Viaggio nella complessità, Marsilio, Venezia 2007, pag. 16.

Potrebbero Interessarti anche

25 Febbraio 2019

Consulenza di Intelligence: oltre le mode.

La consulenza, e l'Intelligence, sono sottoposte alle mode. Questo le rende davvero efficienti? Una consulenza d'Intelligence così impostata è fallimentare.

08 Febbraio 2019

Seminario di Formazione Intelligence

A febbraio si è svolto il primo Seminario di Intelligence per gli analisti di Intellego. Un passo oltre al fine di conoscere per decidere.

12 Dicembre 2018

Cyber: il Quinto Dominio

Il dominio cyber sfugge al controllo classico del law enforcement e pone allo Stato nuove sfide nel prevenire e perseguire crimini.

21 Novembre 2018

Complessità di Security e Professionisti della Security

Complessità di Security e Professionisti della Security