Se sosteniamo l’ipotesi per cui la sicurezza di un’organizzazione – in senso esteso – si fonda per buona parte sulle persone che ne fanno parte – sia nel ruolo passivo del rispetto delle regole stabilite, ma soprattutto nel ruolo attivo di cogliere le continue variazioni del contesto, anche e soprattutto quelle non formali, fornendo input sempre aggiornati per l’analisi e valutazione dei rischi – dobbiamo anche essere consapevoli che queste stesse persone devono essere tutelate.
Bisogna garantire loro il rispetto dei diritti fondamentali, adoperandosi in questa direzione con buona fede e diligenza, con la stessa solerzia che si esige nel loro operato. In altre parole, la Direzione deve applicare nei loro confronti il principio del buon padre di famiglia.
Non sono pochi gli specialisti di security che, di fronte al tema della responsabilità sociale d’impresa, scuotono la testa, ammettendo palesemente l’ignoranza di un quadrante fondamentale a completamento del complesso puzzle delle competenze necessarie per chi vuol fare questo mestiere.
Altri ancora sorridono quando scorrono rapidamente i requisiti della SA8000 – lo standard internazionale volontario e certificabile del SAI – obiettando in modo semplicistico che l’Italia non è un paese del terzo mondo. Ma se, fortunatamente, alcuni requisiti di questa norma sono già fortemente presidiati a livello normativo e di contrattazione collettiva nazionale, altri sembrano fatti a bella posta per essere integrati nei sistemi di gestione security oriented.
Innanzi tutto la norma include una porzione di requisiti correlati al tema della sicurezza e salute sul lavoro che, corredati con le ulteriori specifiche riportate nell’allegato Indicatori di Performance, consentono di valutare e ricontrollare secondo una distinta prospettiva quanto già obbligatoriamente previsto dal Testo Unico sulla Sicurezza (D.lgs 81/08).
Molti di questi elementi hanno a loro volta impatto sugli aspetti della Business Continuity. Infatti è doveroso rammentare che la ISO 22301 tratta anche di scenari distruttivi. E come si garantisce la disponibilità delle persone e di tutti gli asset materiali necessari se non anche con una buona gestione delle emergenze e l’esecuzione periodica degli appropriati controlli preventivi?
La seconda porzione di requisiti, molto interessante in ottica di integrazione con altri sistemi di gestione, appare certamente quella delle pratiche disciplinari e della libertà di associazione e diritto alla contrattazione collettiva. E’ un’area delicata, perché aziende e organizzazioni sindacali sono chiamate a costruire – in sinergia e non in competizione – accordi equilibrati e non disfunzionali tra loro.
Posto il fatto che le informazioni rappresentano un bene fondamentale per molte organizzazioni e conseguentemente per tutti i dipendenti e collaboratori che vi lavorano (anche grazie alla loro messa in sicurezza seguitano a percepire un reddito), è necessario che gli accordi sindacali stipulati non siano né troppo orientati al monitoraggio delle persone a tutti i costi, né completamente sbilanciati verso la loro cieca salvaguardia, impedendo di fatto all’organizzazione di tutelarsi contro eventuali attività di dipendenti infedeli.
Parallelamente, a fronte di errori operativi, violazioni involontarie delle norme di sicurezza stabilite oppure comportamenti fraudolenti, il sistema disciplinare deve essere preventivamente condiviso (ed approvato) tra tutte le parti interessate e sufficientemente chiaro da risultare efficace al momento dell’applicazione. Non dimentichiamo poi che il sistema disciplinare deve anche rispondere ai criteri propri del Modello di Organizzazione e Gestione aziendale – in base alla normativa sulla Responsabilità Amministrativa delle Organizzazioni (D.lgs 231/01) – qualora l’azienda abbia deciso di dotarsene.
In buona sostanza, il progetto di configurazione di un sistema di gestione ad hoc per la SA8000, e la sua integrazione con gli altri sistemi di gestione già esistenti, rappresenta la vera opportunità di coinvolgere in modo attivo tutti i livelli aziendali, anche in ambito di scelte strategiche apparentemente incomprensibili o che in alcuni casi potrebbero risultare ingiustificabili, quasi tiranniche. Può rappresentare la struttura a salvaguardia di un patto forte tra i vertici aziendali e tutti gli impiegati, sanando una frattura spesso incurabile che rende profondamente inefficace qualsiasi procedura di sicurezza scritta su carta e non compresa fino in fondo, non accettata.