L’impatto di un incidente che colpisce la sicurezza fisica di un’organizzazione può manifestarsi a vari livelli, e causare danni di svariata entità: per questo motivo è necessario elaborare strategie di mitigazione dei rischi che devono puntare sia a migliorare i piani di risposta, sia a prevenire gli incidenti stessi. In molti casi, il verificarsi di un incidente produce conseguenze e danneggiamenti che impattano in maniera diretta asset e beni materiali di vario tipo e importanza critica, come macchinari e linee di produzione, attrezzature, strumentazione, veicoli, edifici, causando rallentamenti o interruzioni della continuità operativa aziendale. Ai danni immediati e diretti si aggiungono poi le conseguenti perdite economiche, i rischi legali, e anche le ripercussioni negative sull’immagine di efficienza, affidabilità e competitività che un’azienda deve continuare a costruire e mantenere di se stessa nel settore in cui opera.
Quando e perché il rischio di incidenti di sicurezza fisica aumenta
La crescita di un’organizzazione, con l’apertura di nuove attività o sedi, può esporsi a ulteriori rischi di incidenti. Anche l’adozione di nuove tecnologie, sistemi di produzione più sofisticati, o l’incremento della connettività, come ad esempio la transizione verso il paradigma IoT (Internet of Things), finiscono per introdurre nella rete aziendale nuove vulnerabilità e potenziali punti di attacco, sfruttabili dagli attori delle minacce per colpire le infrastrutture e i dispositivi di sicurezza fisica.
Tra le cause principali che frenano l’attuazione di misure di mitigazione dei rischi vi è la mancanza di aggiornamento dei sistemi e degli impianti di sicurezza: nei casi in cui non vengono aggiornati, o sono addirittura obsoleti, tali sistemi risultano più vulnerabili e inadeguati a fronteggiare nuove minacce e incidenti. Vanno poi segnalate le fragilità esistenti nei sistemi di sorveglianza e monitoraggio quando le installazioni avvengono senza seguire un progetto e una strategia. Videosorveglianza e sistemi di allarme forniscono talvolta una copertura parziale e insufficiente dell’organizzazione, lasciando scoperte e vulnerabili alcune aree. Il rischio di incidenti aumenta anche quando in azienda non sono implementati validi sistemi di controllo costante del corretto funzionamento degli impianti di sicurezza fisica (allarmi, sistemi antintrusione, controllo accessi, sistemi antincendio) per segnalare eventuali anomalie, e mancano strumenti di monitoraggio attivo e continuo, in grado di rilevare in maniera tempestiva gli incidenti. L’incapacità di mitigazione dei rischi dipende naturalmente anche dall’esistenza di procedure inefficaci di risposta agli incidenti, che, causando confusioni e ritardi nei tempi d’intervento, aggravano le conseguenze e i danni dell’evento. Da menzionare sono inoltre la mancanza di risk assessment aggiornati e di piani per condurre con regolarità la valutazione dei rischi, come anche la carenza di formazione adeguata per il personale di supporto sui protocolli di sicurezza e sui potenziali rischi.
Implementare un piano di mitigazione dei rischi: l’importanza dei KPI
Le cause appena enumerate ostacolano la messa in atto di solidi piani di mitigazione dei rischi, ma, prescindendo dalle specifiche carenze tecnologiche, culturali e organizzative che caratterizzano ciascuna organizzazione, una valida soluzione di mitigazione dei rischi deve necessariamente partire da una analisi metodica e intelligente dei dati disponibili. Combinando l’analisi dei dati storici e in tempo reale diventa infatti possibile prevedere e prevenire gli incidenti di sicurezza fisica. Le tecniche di analisi predittiva sfruttano big data, modelli statistici avanzati, intelligenza artificiale (AI) e apprendimento automatico (machine learning – ML) per identificare potenziali anomalie e prevedere, ad esempio, quando un macchinario su una linea di produzione subirà un guasto, o quando potrà verificarsi un dato incidente di sicurezza fisica.
Per implementare una soluzione di analisi dei dati che sappia fornire le corrette indicazioni per costruire un piano di mitigazione dei rischi di incidente, è però fondamentale individuare alcuni indicatori chiave di prestazione, o KPI (key performance indicator) che vanno poi monitorati attraverso opportuni strumenti e procedure. Questi KPI chiave aiutano in sostanza a valutare l’efficacia delle misure di sicurezza, a identificare le aree di miglioramento, a intervenire tempestivamente in caso di potenziali minacce, e anche a prevenire gli incidenti.
KPI più rilevanti per la mitigazione dei rischi
Premesso che la selezione dei KPI fondamentali e degli strumenti di monitoraggio dipende dalla tipologia di organizzazione, dal settore in cui opera e dagli asset aziendali e industriali che deve proteggere, in generale si possono comunque indicare alcuni KPI particolarmente importanti da monitorare per attuare una mitigazione dei rischi:
-
Numero di incidenti. È il numero totale di incidenti di sicurezza fisica, ad esempio accessi non autorizzati, furti, atti vandalici, danni alle proprietà, avvenuti in un determinato periodo. Lo strumento adatto a registrare questo dato è un sistema PSIM (physical security information management), in grado di gestire e archiviare centralmente tutti gli eventi e allarmi provenienti dai vari sistemi di sicurezza fisica, di classificarli e poi di generare rapporti dettagliati e statistiche aggregate sugli incidenti avvenuti, ad esempio, in un mese o in un anno. Questo KPI è cruciale per analizzare i trend, valutare l’efficacia delle misure di sicurezza e migliorare di continuo le procedure di risposta.
-
Tempo medio di risposta agli incidenti. Indica il tempo mediamente impiegato dal personale di servizio per rispondere a un allarme o a un incidente di sicurezza, dalla ricezione della segnalazione all’arrivo sul luogo per iniziare i primi interventi. Si può misurare analizzando i sistemi di allarme, gli strumenti di telefonia e comunicazione mobile, e i registri attività del personale addetto alla sicurezza.
-
Tempo medio di risoluzione degli Incidenti. È il tempo mediamente utilizzato per risolvere completamente un incidente di sicurezza, dalla sua rilevazione alla sua chiusura definitiva. Si ricava analizzando, ad esempio, i dati del sistema PSIM e dei moduli applicativa di gestione eventi e workflow.
Altri indicatori chiave possono includere il numero di falsi allarmi, il grado di conformità con cui il personale segue le procedure di sicurezza, l’efficacia della formazione, o il costo totale associato agli incidenti di sicurezza fisica, che comprende danni alle proprietà, costi di riparazione, perdita di produttività, costi legali, e quant’altro. Tra gli strumenti utili per il monitoraggio dei KPI chiave, oltre alle piattaforme PSIM, vi sono gli audit di sicurezza, basati su ispezioni periodiche e valutazioni per la verifica della conformità con le procedure e per l’identificazione delle aree di rischio. Altri strumenti importanti sono i sistemi di business intelligence (BI), richiesti per aggregare, analizzare e visualizzare i dati provenienti da diverse fonti, attraverso la creazione di dashboard personalizzate per il monitoraggio dei KPI. Quanto alle metodologie, è importante definire in maniera chiara e misurabile ciascun KPI, raccogliendo dati completi, accurati e coerenti per la misurazione degli indicatori chiave. È anche necessario eseguire un monitoraggio regolare dei KPI, su base giornaliera, settimanale o mensile, per individuare trend e cambiamenti. I risultati ricavati dai KPI vanno poi analizzati per identificare le aree di miglioramento e intraprendere le azioni correttive utili per attuare una strategia di mitigazione dei rischi.
In conclusione, l’adozione di KPI aiuta un’organizzazione a ottenere una visione chiara dell’efficacia delle proprie misure di sicurezza fisica, a identificare le vulnerabilità in maniera proattiva e a migliorare di continuo la capacità di proteggere gli asset materiali.
