NIER Ingegneria è diventata Società Benefit →
TORNA AGLI ARTICOLI
3 Febbraio 2021

ISO 28000 e Gestione dei Rischi Security nella Supply Chain: leve competitive per la continuità operativa

Nell’era della globalizzazione e della digitalizzazione, la necessità di adottare nuovi modelli di resilienza organizzativa in grado di garantire ai propri clienti stringenti parametri di sicurezza collegati alla sfera della security lungo tutta la Supply Chain rappresenta – oggi più che mai – un fattore cruciale per tutte quelle organizzazioni che presentano una catena di fornitura articolata e complessa.

I nuovi scenari competitivi rendono inequivocabilmente sempre più stringente per le imprese la necessità di implementare un adeguato sistema di gestione di tutti quei rischi di origine criminosa –  altresì definiti come “rischi atipici” od “esogeni” rispetto al core business aziendale -.

Rischi che possono presentarsi a monte ed a valle della propria catena di fornitura, di carattere “doloso” o “colposo” come il furto, la frode, la contraffazione, la pirateria ed il terrorismo che potrebbero comportare:

  • ingenti ritardi o arresti nelle consegne dei fornitori,
  • minare la continuità operativa del business
  • causare ingenti danni reputazionali ed al brand, compromettendo in taluni casi la sopravvivenza stessa dell’impresa.

Per poter soddisfare queste richieste, un importante linea guida di riferimento è rappresentata dalla norma ISO 28000: Security Management System for the Supply Chain.

La norma ISO 28000 rappresenta lo Standard Internazionale di riferimento sviluppato per rispondere alla necessità di implementare all’interno delle organizzazioni aziendali un efficace sistema di gestione della security della catena di fornitura, secondo un modello che ne misuri e ne garantisca nel tempo i livelli di efficienza ed efficacia attesi dall’alta direzione.

La prima edizione della norma ISO 28000 risale al 2007 ed è oggi largamente applicata  in tutto il mondo. Analogamente alla ISO 9001, questo Standard contiene i requisiti basilari dei sistemi di gestione risk based”.  

Per poter avere un ordine di grandezza a livello internazionale, nel 2016, i 5 paesi con il più alto numero di certificazioni ISO 28000 sono stati: l’India con 425 certificazioni, il Giappone con 299, la Spagna con 231 ed il Regno Unito con 197.


L’obiettivo della ISO 28000 è quello di supportare le organizzazioni a progettare ed implementare sistemi di gestione per assicurare la security lungo la propria supply chain.


Il punto di arrivo è l’identificazione e analisi dei rischi potenziali, implementando le opportune ed adeguate misure di prevenzione e protezione per meglio “tenerli sotto controllo” e “minimizzarli” allo scopo di difendere la continuità operativa del proprio business, indipendentemente dalle dimensioni e dal settore a cui appartengono.

Gli elementi del sistema di gestione della security alla base di questo Standard sono ben evidenziati nel seguente schema:

Gestione Rischi Security - Fig. 1 Elementi del sistema di gestione

Fig. 1 – Elementi del sistema di gestione della security per il miglioramento continuo

La ISO 28000 è volutamente una norma con una struttura molto “generica”, tanto che viene spesso definita come “norma vuota”, che la rende assimilabile agli altri Standard dei sistemi di gestione come la ISO 9001, la ISO 45000, la ISO 14001, favorendone l’implementazione per quelle organizzazioni già dotate di un “sistema di gestione integrato” e “risk-based”.

La norma  si basa sulla metodologia del Ciclo di Deming PDCA: “Plan-Do-Check-Act”, come di seguito descritto, la cui applicazione consente di:

• Plan: stabilire gli obiettivi ed i processi necessari per garantire un risultato in accodo con le policy di security dell’organizzazione
• Do: implementare i processi.
• Check: monitorare e misurare i processi rispetto alle policy di security, agli obiettivi, ai targets, ai requisiti di legge e strutturare (riportare) i risultati.
• Act: adottare azioni che consentano il miglioramento continuo del sistema di gestione della security.

Riportiamo di seguito lo schema previsto dalla norma funzionale allo sviluppo dei processi di security lungo tutta la propria catena di fornitura che possono essere implementati all’interno dell’organizzazione:

Gestione Rischi Security - Fig. 2 Elementi del sistema di gestione

Fig. 2 – Elementi del sistema di gestione della security per il miglioramento continuo

REQUISITI E CERTIFICAZIONE ISO28000

In sintesi, i requisiti fondamentali forniti dalla ISO 28000 aiutano le organizzazioni aziendali a:

• stabilire, attuare, mantenere e migliorare un sistema di gestione della security;
• assicurare la conformità con le policy di gestione della sicurezza;
• documentare e dimostrare tale conformità a terzi;
• richiedere la certificazione del proprio sistema di gestione della security da un organismo di certificazione di terza parte accreditato.

La norma, la cui valenza è oggi universalmente riconosciuta a livello mondiale, sta riscuotendo sempre più l’attenzione dei grandi players internazionali – con casi studio specifici importanti -, allo scopo di rispondere alle esigenze dettate dalla casa madre o di soddisfare specifiche richieste di top clients e dei propri stakeholders.



Analizzare gli specifici rischi di settore e le misure di prevenzione significa consolidare i rapporti coi propri migliori clienti

Ecco come ti diamo supporto strategico con Piani di BUSINESS CONTINUITY
Siamo felici di poter essere utili: scrivici a BD@nier.it per informazioni o dettagli


Approfondimento a cura di Anna Villani, Security Project Manager NIER Ingegneria SpA, Presidente Vicario APC Security & Safety AIAS Sicurezza, Membro Italiano Commissione Security CFPAE, Lead Auditor ISO 28000.

DALLE PAROLE AI FATTI .

Contattaci per saperne di più sull’argomento dell’articolo.

    Condividi .