La sicurezza aziendale da centro di costo a moltiplicatore di valore
Intervista a Gianluca Sori, security manager
“È fondamentale saper tradurre concretamente le problematiche in modo comprensibile anche a chi non ha competenze tecniche, promuovendo una vera cultura del rischio, intesa prima di tutto come prevenzione” Così dice Gianluca Sori con il quale iniziamo un viaggio tra i responsabili della sicurezza di alcune importanti realtà aziendali rientranti tra le infrastrutture critiche previste dalla Direttiva (UE) NIS 2, per raccogliere indicazioni da chi opera sul campo oggi sui cambiamenti in corso della disciplina e, quindi, delle caratteristiche che deve possedere il security manager di domani.
Come deve evolvere il profilo del Security Manager per rispondere alle nuove necessità delle organizzazioni?
Oggi, più che mai, il Security Manager non può più essere considerato un mero responsabile della sicurezza fisica, ma deve assumere un ruolo strategico, trasversale e integrato nel core business aziendale. La digitalizzazione dei processi ha portato a una crescente fusione tra physical e cyber security, rendendo indispensabili nuove competenze e un approccio multidisciplinare. È fondamentale saper analizzare i rischi digitali, conoscere le normative come la NIS-2, avere familiarità con i sistemi di cybersecurity industriale e, non meno importante, possedere una forte sensibilità nella gestione delle crisi, nella business continuity e nella comunicazione del rischio, tenendo conto delle diverse esigenze aziendali. È fondamentale saper tradurre concretamente le problematiche in modo comprensibile anche a chi non ha competenze tecniche, promuovendo una vera cultura del rischio, intesa prima di tutto come prevenzione.
Personalmente, dopo aver trascorso anni in contesti ad alto rischio all'estero, come Somalia, Iraq, Afghanistan e Colombia, e ora lavorando in ambito corporate in Italia, ho notato quanto sia fondamentale abbandonare approcci verticali o esclusivamente reattivi. Il futuro che in parte è già presente richiede profili ibridi, ovvero professionisti capaci di dialogare con il board e, al tempo stesso, dotati di solide basi tecniche e operative. Abbiamo bisogno di professionisti strategici, coinvolti nei processi decisionali fin dall'inizio e in grado di garantire la continuità operativa in qualsiasi situazione.
I vertici aziendali sono davvero consapevoli di questa trasformazione?
La consapevolezza esiste, ma non è ancora diffusa in modo omogeneo. In molte realtà multinazionali, o in settori strategici come energia e finanza, si sta assistendo a un vero cambio di paradigma: la security non è più considerata un mero centro di costo, ma viene riconosciuta come un fattore abilitante per il business, un moltiplicatore di valore. Tuttavia, in altri contesti soprattutto a livello nazionale la sicurezza è ancora percepita come un vincolo burocratico o come una funzione “di servizio”, da attivare solo in risposta a un’emergenza già in corso.
Il passaggio culturale che ritengo ancora necessario è proprio questo, ovvero comprendere che la sicurezza, se ben strutturata e integrata, è un investimento strategico, non un onere operativo. In tal senso, la direttiva NIS-2 sta rappresentando un punto di svolta, poiché assegna responsabilità dirette al management e impone una compliance concreta, non più rinviabile.
Nel corso della mia esperienza, sia in contesti internazionali che in ambito corporate, ho cercato di accompagnare il management in questo cambio di prospettiva. Attraverso esercitazioni mirate, analisi d’impatto, test di integrità sugli asset e verifiche dei piani di continuità, ho cercato di dimostrare il valore concreto della funzione security. Quando il top management realizza che un singolo evento di security può determinare un’interruzione delle attività o un blocco della supply chain, con conseguenze economiche significative, allora la prospettiva muta radicalmente.
A livello di comunicazione e formazione, cosa si dovrebbe fare per supportare questo processo?
Il rafforzamento della security awareness rappresenta oggi una leva strategica per garantire la resilienza aziendale. In ogni contesto in cui ho operato, da realtà internazionali ad alto rischio fino al settore corporate, ho promosso iniziative di formazione orientate all’engagement diffuso, superando la visione della sicurezza come ambito riservato a pochi. Il coinvolgimento attivo di tutte le funzioni aziendali è imprescindibile. È necessario implementare un approccio formativa basata sull’esperienza diretta, basato su workshop, tabletop exercise e simulazioni operative. Queste attività non solo favoriscono la comprensione dei rischi, ma contribuiscono a consolidare una cultura della prevenzione come asset trasversale al business.
Allo stesso tempo, è essenziale una comunicazione efficace: non allarmistica, ma chiara, realistica e orientata al valore. La security va raccontata in chiave di impatto reale, mettendo in luce il contributo di ogni funzione, dalla Logistica al Procurement, dal Legal all’HR nella protezione degli asset aziendali.
La formazione non può limitarsi a iniziative sporadiche, ma deve diventare un processo continuo, flessibile e pienamente integrato nella vita dell’azienda, accompagnando l’evoluzione delle persone e degli scenari di rischio. Solo così si può garantire un adattamento costante rispetto all’evoluzione delle minacce e alle dinamiche di rischio emergenti.
Quale potrebbe essere il ruolo delle associazioni dei Security Manager?
Le associazioni professionali rappresentano un attore strategico per lo sviluppo e la valorizzazione della figura del Security Manager. Oltre al networking, il loro ruolo dovrebbe concentrarsi sulla promozione di standard operativi condivisi, sul sostegno alla formazione continua e sul riconoscimento formale della professione attraverso percorsi di certificazione strutturati.
Un altro aspetto chiave è la capacità di fungere da ponte tra il mondo corporate e le istituzioni, favorendo un dialogo efficace tra pubblico e privato. Le associazioni possono contribuire a consolidare una cultura della sicurezza più matura, coinvolgendo non solo le imprese, ma anche l’ambito accademico e i territori. In un contesto caratterizzato da minacce complesse e in continua evoluzione, la condivisione di esperienze e buone pratiche tra professionisti diventa essenziale. La sicurezza non può essere gestita in modo individuale, ma è da considerare un sistema interdipendente, che richiede visione collettiva, contaminazione positiva delle competenze e capacità di fare rete.
