Sicurezza

AssetProtection. Big data a colori: definire gli indicatori e misurarli

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

In ambito professionale contano i fatti. E per parlare di fatti occorrono dati e serie storiche alla mano prima di formulare qualsiasi ipotesi

In ambito professionale contano i fatti. E per parlare di fatti occorrono dati e serie storiche alla mano prima di formulare qualsiasi ipotesi. La misurazione è un passaggio fondamentale per poi pianificare; un naturale spartiacque – specie nella mente di chi è chiamato ad operare al livello strategico – tra chiacchiere da bar e ragionamenti che meritano un briciolo di attenzione. E’ il biglietto d’accesso all’ufficio del capo, senza il quale qualsiasi lavoro, sprovvisto di informazioni ricavate dai numeri, potrebbe diventare solo tempo perso.

 La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Anche dopo la progettazione e l’applicazione di qualsiasi azione messa in campo, è necessario poterla misurare, in termini quantitativi e qualitativi, per controllarne i livelli di efficacia ed efficienza correlati. E se la pratica ci insegna quanto sino ad ora riportato, anche la teoria, ricavata per esempio dai requisiti delle principali normative internazionali del mondo ISO, combacia perfettamente. Infatti, nella struttura di alto livello, secondo la quale dal 2012 tutte le normative vengono scritte, ritroviamo al punto 9 – valutazione delle prestazioni il gruppo di requisiti 9.1 – Monitoraggio, misurazione, analisi e valutazione.

In buona sostanza si richiede che, calcolati gli indicatori di prestazione ed il loro rapporto con gli obiettivi precedentemente definiti, le informazioni ricavate dagli scostamenti negativi e positivi forniscano parte degli input per lo svolgimento del riesame della Direzione.

Detta in questi termini sembra una storia abbastanza semplice, ma in pratica sono molti gli elementi che entrano in gioco. A rischio di semplificare un po’ troppo, ma con l’intenzione di fornire uno spunto di riflessione anche per coloro che sono alle prime armi, occorre prendere in considerazione tre aspetti principali: quali informazioni monitorare, come raccoglierle tecnicamente e come rappresentarle perché siano comprensibili.

Per le informazioni da monitorare nessun sistema di gestione si è mai preso la briga di descrivere anche solo genericamente alcune indicazioni, fatta eccezione per la ISO 19600 Linee Guida per la Compliance nei Sistemi di Gestione. Queste possono fornire un valido spunto per riflettere in qualsiasi contesto circa alcune aree di indagine. Regna sovrano, come primo indicatore proposto, la percentuale delle persone effettivamente formate e l’efficacia della formazione svolta (sarà un caso?). E’ seguito poi dall’efficacia dei controlli eseguiti, che riguardano anche la corretta allocazione delle responsabilità e l’aggiornamento delle normative di riferimento. A seguire menzioniamo le azioni che si sono rivelate non conformi o che hanno generato incidenti o mancati incidenti ed i relativi impatti economici prodotti. Infine riportiamo l’effort richiesto per la remediation rispetto alla situazione attesa. Quanto fino ad ora indicato deve essere però considerato come semplice fonte di ispirazione per arrivare ad un’architettura ben più articolata in funzione delle specifiche aree di intervento e delle effettive necessità, rammentando che è più interessante il monitoraggio di fenomeni atipici piuttosto che confermare quelli già noti.

Una volta individuati gli indicatori da monitorare, occorre poi comprendere in termini tecnici le fonti dei dati – spesso eterogenee e difficili da raccordare direttamente, senza dover sviluppare procedure ad hoc, in un unico ambiente di analisi -, le modalità di aggregazione e quelle di distribuzione. Attenzione però all’improvvisazione, perché con i big data non si scherza. La grande mole di dati da raccogliere, le modalità con i quali vengono consolidati e la frequenza di aggiornamento richiesta possono rappresentare vere e proprie minacce interne, fino a provocare, nei casi peggiori, sovraccarichi disastrosi della rete aziendale e dei principali server impiegati.

Terza e ultima questione, come premesso, riguarda le modalità per fornire rappresentazioni apprezzabili. Ma quante persone sono disposte a leggere distese di numeri, anche se organizzate in tabelle ordinate? Ecco perché l’output finale di un’analisi complessa, fatta eccezione per casi specifici di drill down, dovrebbe essere costituito da una dashboard semplice, ben organizzata, leggibile a colpo d’occhio, nella quale siano incluse al massimo cinque rappresentazioni. Quelle più diffuse sono i grafici lineari ed istogrammi, senza però dimenticare l’efficacia di gaudge, intuitivi al massimo, e grafici a radar, ottimali per rappresentare anche situazioni più complesse. Infine è importante ricordare, anche se spesso si dà per scontato, un’ultima accortezza: i colori hanno un significato implicito e largamente condiviso; è per questa ragione che elementi in rosso, in giallo o in verde possono essere interpretati rapidamente, anche senza vedere i dati di riferimento.

Forse queste regole sembrano banali. Certo è che per la mia esperienza personale poche volte ho avuto la possibilità di leggere un report in un minuto: esattamente l’obiettivo che mi prefiggo quando ne progetto uno.